சுருள் தோழர்கள் APT
முன்னர் ஆவணப்படுத்தப்படாத சைபர் அச்சுறுத்தல் குழுவான கர்லி காம்ரேட்ஸ், ஜார்ஜியா மற்றும் மால்டோவாவில் உள்ள உயர்மட்ட நிறுவனங்களை குறிவைத்து தாக்குதல் நடத்துவது கண்டறியப்பட்டுள்ளது. இந்த பிரச்சாரம் நீண்டகால ஊடுருவல் மற்றும் இலக்கு வைக்கப்பட்ட நெட்வொர்க்குகளுக்குள் உளவுத்துறை சேகரிப்பை நோக்கமாகக் கொண்டதாகத் தெரிகிறது. இந்தக் குழுவின் செயல்பாடுகள் ரஷ்யாவின் புவிசார் அரசியல் நலன்களுடன் இணைந்த ஒரு கணக்கிடப்பட்ட, தொடர்ச்சியான மற்றும் திருட்டுத்தனமான அணுகுமுறையை வெளிப்படுத்துகின்றன.
பொருளடக்கம்
உயர் மதிப்பு இலக்குகள் மற்றும் ஆரம்ப செயல்பாடு
2024 ஆம் ஆண்டின் நடுப்பகுதியில் இருந்து, இந்தக் குழு ஜார்ஜியாவில் உள்ள நீதித்துறை மற்றும் அரசு அமைப்புகள் மற்றும் மால்டோவாவில் உள்ள ஒரு எரிசக்தி விநியோக நிறுவனத்தில் கவனம் செலுத்தி வருகிறது. தாக்குதல் கலைப்பொருட்களின் பகுப்பாய்வு, இந்த நடவடிக்கை முதலில் நினைத்ததை விட முன்னதாகவே தொடங்கியதைக் காட்டுகிறது, அவர்களின் தனிப்பயன் பின்கதவான MucorAgent இன் ஆரம்பகால உறுதிப்படுத்தப்பட்ட பயன்பாடு நவம்பர் 2023 இல் தொடங்குகிறது, இருப்பினும் செயல்பாடு அதற்கு முன்பே தொடங்கியிருக்கலாம்.
மூலோபாய இலக்குகள் மற்றும் தந்திரோபாயங்கள்
கர்லி காம்ரேடுகளுக்கான இறுதி இலக்கு நீடித்த நெட்வொர்க் அணுகல், உளவு பார்த்தல், நற்சான்றிதழ் திருட்டு மற்றும் ஆழமான பக்கவாட்டு இயக்கம் ஆகியவற்றை செயல்படுத்துவதாகும். அவர்கள் நிலையான தாக்குதல் நுட்பங்களை தனிப்பயன் செயல்படுத்தல்களுடன் இணைத்து முறையான அமைப்பு செயல்பாடுகளுடன் கலக்கிறார்கள். அவர்களின் பிரச்சாரம் பின்வருமாறு குறிக்கப்படுகிறது:
- அணுகலைச் செம்மைப்படுத்த மீண்டும் மீண்டும் சோதனை மற்றும் பிழை
- மீள்தன்மையை உறுதி செய்வதற்கான தேவையற்ற முறைகள்
- கண்டறிதலைத் தவிர்க்க அதிகரிக்கும் அமைவு படிகள்
மையத்தில் நற்சான்றிதழ் திருட்டு
தாக்குதல் நடத்தியவர்கள், டொமைன் கன்ட்ரோலர்களில் இருந்து NTDS தரவுத்தளக் கோப்புகளை மீண்டும் மீண்டும் வெளியேற்ற முயன்றனர், கடவுச்சொல் ஹாஷ்கள் மற்றும் அங்கீகாரத் தரவை இலக்காகக் கொண்டனர். மேலும், தேர்ந்தெடுக்கப்பட்ட கணினிகளிலிருந்து LSASS நினைவகத்தை டம்ப் செய்ய முயன்றனர், சாத்தியமான எளிய உரை கடவுச்சொற்கள் உட்பட செயலில் உள்ள பயனர் சான்றுகளை மீட்டெடுக்கும் நோக்கில்.
திருட்டுத்தனத்திற்காக சட்டப்பூர்வமான கருவிகளை தவறாகப் பயன்படுத்துதல்
கர்லி காம்ரேட்ஸின் செயல்பாடுகளின் ஒரு தனிச்சிறப்பு, தீங்கிழைக்கும் செயல்பாட்டை மறைக்க நம்பகமான மென்பொருள் மற்றும் சேவைகளைப் பயன்படுத்துவதாகும். குறிப்பிடத்தக்க கருவிகளில் பின்வருவன அடங்கும்:
Resocks, SOCKS5, SSH, மற்றும் Stunnel - உள் நெட்வொர்க்குகளில் பல அணுகல் சுரங்கங்களை உருவாக்கி தொலை கட்டளை செயல்படுத்தலை செயல்படுத்துகிறது.
சட்டபூர்வமான ஆனால் சமரசம் செய்யப்பட்ட வலைத்தளங்கள் - C2 போக்குவரத்து மற்றும் தரவு வெளியேற்றத்திற்கான இரகசிய ரிலேக்களாகச் செயல்படுகின்றன, சாதாரண நெட்வொர்க் ஓட்டங்களுடன் கலக்கின்றன.
கூடுதல் ஆயுதமயமாக்கப்பட்ட பயன்பாடுகள்:
- CurlCat – பாதிக்கப்பட்ட தளங்கள் வழியாக HTTPS வழியாக இருதரப்பு தரவு பரிமாற்றம்.
மியூகோர்ஏஜென்ட்: ஒரு தனிப்பயன் விடாமுயற்சி ஆயுதம்
இந்த பிரச்சாரத்தின் மையத்தில் MucorAgent உள்ளது, இது ஒரு தனிப்பயனாக்கப்பட்ட .NET பின்னணிக் கதவு ஆகும், இது உள்ளமைக்கப்பட்ட .NET கட்டமைப்பு கூறுகளான Native Image Generator (Ngen) உடன் இணைக்கப்பட்ட COM வகுப்பு அடையாளங்காட்டிகளை (CLSIDகள்) கடத்துகிறது.
Ngen, அசெம்பிளிகளை முன்கூட்டியே தொகுக்க வடிவமைக்கப்பட்டிருந்தாலும், ஒரு ரகசிய நிலைத்தன்மை பொறிமுறையாகச் செயல்படும். தாக்குதல் நடத்துபவர்கள் Ngen உடன் இணைக்கப்பட்ட முடக்கப்பட்ட திட்டமிடப்பட்ட பணியைப் பயன்படுத்திக் கொள்கிறார்கள், இது எப்போதாவது செயலற்ற நேரங்கள் அல்லது பயன்பாட்டு வரிசைப்படுத்தல்களின் போது கணிக்க முடியாதபடி தூண்டுகிறது, இதனால் அலாரங்களைத் தூண்டாமல் SYSTEM-நிலை அணுகலை மீட்டெடுக்க அனுமதிக்கிறது.
MucorAgent இம்ப்லாண்ட் மூன்று நிலைகளில் செயல்படுகிறது, மறைகுறியாக்கப்பட்ட பவர்ஷெல் ஸ்கிரிப்ட்களை இயக்கி முடிவுகளை தாக்குபவர் கட்டுப்படுத்தும் சேவையகங்களுக்கு அனுப்புகிறது. பேலோடுகள் நினைவகத்தில் ஏற்றப்பட்டு உடனடியாக நீக்கப்படும், இதனால் குறைந்தபட்ச தடயவியல் தடயங்கள் இருக்கும்.
முறைசார், தகவமைப்பு மற்றும் திருட்டுத்தனமாக முதலில்
கர்லி காம்ரேடுகள் புதுமையை விட திருட்டுத்தனத்தை விரும்புகிறார்கள், பூஜ்ஜிய-நாள் பாதிப்புகளைப் பயன்படுத்துவதை விட பொது கருவிகள், திறந்த மூல பயன்பாடுகள் மற்றும் LOLBins ஆகியவற்றை நம்பியிருக்கிறார்கள். அவர்களின் செயல்பாடுகள் குறைந்த இரைச்சல் நிலைத்தன்மை மற்றும் தகவமைப்புத் தன்மையை வலியுறுத்துகின்றன, சந்தேகத்தை எழுப்பாமல் நீண்டகால கட்டுப்பாட்டைப் பராமரிக்க பொதுவான மற்றும் தனிப்பயனாக்கப்பட்ட கருவிகளைப் பயன்படுத்துகின்றன.
