కర్లీ కామ్రేడ్స్ APT
గతంలో నమోదుకాని సైబర్ బెదిరింపు సమూహం, కర్లీ కామ్రేడ్స్ అని పిలువబడుతుంది, జార్జియా మరియు మోల్డోవాలోని ఉన్నత స్థాయి సంస్థలను లక్ష్యంగా చేసుకున్నట్లు గమనించబడింది. ఈ ప్రచారం దీర్ఘకాలిక చొరబాటు మరియు లక్ష్యంగా చేసుకున్న నెట్వర్క్లలో నిఘా సేకరణ లక్ష్యంగా ఉన్నట్లు కనిపిస్తోంది. ఈ సమూహం యొక్క కార్యకలాపాలు రష్యా యొక్క భౌగోళిక రాజకీయ ప్రయోజనాలకు అనుగుణంగా లెక్కించబడిన, నిరంతర మరియు రహస్య-ఆధారిత విధానాన్ని వెల్లడిస్తున్నాయి.
విషయ సూచిక
అధిక-విలువ లక్ష్యాలు మరియు ప్రారంభ కార్యాచరణ
2024 మధ్యకాలం నుండి, ఈ బృందం జార్జియాలోని న్యాయ మరియు ప్రభుత్వ సంస్థలు మరియు మోల్డోవాలోని ఒక ఇంధన పంపిణీ సంస్థపై దృష్టి సారించింది. దాడి కళాఖండాల విశ్లేషణ ఆపరేషన్ మొదట అనుకున్న దానికంటే ముందుగానే ప్రారంభమైందని చూపిస్తుంది, వారి కస్టమ్ బ్యాక్డోర్, ముకోర్అజెంట్ యొక్క మొట్టమొదటి ధృవీకరించబడిన ఉపయోగం నవంబర్ 2023 నాటిది, అయితే కార్యకలాపాలు అంతకు ముందే ప్రారంభమై ఉండవచ్చు.
వ్యూహాత్మక లక్ష్యాలు మరియు వ్యూహాలు
కర్లీ కామ్రేడ్స్ యొక్క అంతిమ లక్ష్యం దీర్ఘకాలిక నెట్వర్క్ యాక్సెస్, ఇది నిఘా, ఆధారాల దొంగతనం మరియు లోతైన పార్శ్వ కదలికను అనుమతిస్తుంది. వారు ప్రామాణిక దాడి పద్ధతులను కస్టమ్ అమలులతో కలిపి చట్టబద్ధమైన సిస్టమ్ కార్యకలాపాలతో మిళితం చేస్తారు. వారి ప్రచారం దీని ద్వారా గుర్తించబడింది:
- యాక్సెస్ను మెరుగుపరచడానికి పునరావృత ట్రయల్-అండ్-ఎర్రర్
- స్థితిస్థాపకతను నిర్ధారించడానికి అనవసరమైన పద్ధతులు
- గుర్తింపును నివారించడానికి పెరుగుతున్న సెటప్ దశలు
కోర్ వద్ద ఆధారాల దొంగతనం
దాడి చేసేవారు డొమైన్ కంట్రోలర్ల నుండి NTDS డేటాబేస్ ఫైళ్ళను తొలగించడానికి పదేపదే ప్రయత్నించారు, పాస్వర్డ్ హ్యాష్లు మరియు ప్రామాణీకరణ డేటాను లక్ష్యంగా చేసుకున్నారు. వారు ఎంచుకున్న యంత్రాల నుండి LSASS మెమరీని డంప్ చేయడానికి కూడా ప్రయత్నించారు, సాధ్యమయ్యే సాదా టెక్స్ట్ పాస్వర్డ్లతో సహా క్రియాశీల వినియోగదారు ఆధారాలను తిరిగి పొందే లక్ష్యంతో.
దొంగతనం కోసం చట్టబద్ధమైన సాధనాల దుర్వినియోగం
కర్లీ కామ్రేడ్స్ కార్యకలాపాల ముఖ్య లక్షణం హానికరమైన కార్యకలాపాలను కప్పిపుచ్చడానికి విశ్వసనీయ సాఫ్ట్వేర్ మరియు సేవలను ఉపయోగించడం. ముఖ్యమైన సాధనాల్లో ఇవి ఉన్నాయి:
రీసాక్స్, SOCKS5, SSH, మరియు స్టన్నెల్ - అంతర్గత నెట్వర్క్లలోకి బహుళ యాక్సెస్ టన్నెల్లను సృష్టించడం మరియు రిమోట్ కమాండ్ అమలును ప్రారంభించడం.
చట్టబద్ధమైన కానీ రాజీపడిన వెబ్సైట్లు - C2 ట్రాఫిక్ మరియు డేటా ఎక్స్ఫిల్ట్రేషన్ కోసం రహస్య రిలేలుగా పనిచేస్తాయి, సాధారణ నెట్వర్క్ ప్రవాహాలతో కలిసిపోతాయి.
అదనపు ఆయుధ యుటిలిటీలు:
- కర్ల్క్యాట్ - రాజీపడిన సైట్ల ద్వారా HTTPS ద్వారా ద్వి దిశాత్మక డేటా బదిలీ
మ్యూకోర్ ఏజెంట్: ఒక కస్టమ్ పెర్సిస్టెన్స్ ఆయుధం
ఈ ప్రచారం యొక్క ప్రధాన లక్ష్యం MucorAgent, ఇది ఒక బెస్పోక్ .NET బ్యాక్డోర్, ఇది అంతర్నిర్మిత .NET ఫ్రేమ్వర్క్ భాగం అయిన నేటివ్ ఇమేజ్ జనరేటర్ (Ngen)కి లింక్ చేయబడిన COM క్లాస్ ఐడెంటిఫైయర్లను (CLSIDలు) హైజాక్ చేస్తుంది.
Ngen, అసెంబ్లీలను ప్రీ-కంపైల్ చేయడానికి రూపొందించబడినప్పటికీ, ఇది ఒక రహస్య నిలకడ యంత్రాంగంగా ఉపయోగపడుతుంది. దాడి చేసేవారు Ngenతో ముడిపడి ఉన్న నిలిపివేయబడిన షెడ్యూల్ చేయబడిన పనిని దోపిడీ చేస్తారు, ఇది అప్పుడప్పుడు నిష్క్రియ సమయాల్లో లేదా అప్లికేషన్ విస్తరణల సమయంలో అనూహ్యంగా ట్రిగ్గర్ చేస్తుంది, అలారాలను ట్రిగ్గర్ చేయకుండా SYSTEM-స్థాయి యాక్సెస్ను పునరుద్ధరించడానికి వీలు కల్పిస్తుంది.
మ్యుకోర్అజెంట్ ఇంప్లాంట్ మూడు దశల్లో పనిచేస్తుంది, ఎన్క్రిప్ట్ చేయబడిన పవర్షెల్ స్క్రిప్ట్లను అమలు చేస్తుంది మరియు ఫలితాలను దాడి చేసేవారి-నియంత్రిత సర్వర్లకు పంపుతుంది. పేలోడ్లు మెమరీలోకి లోడ్ చేయబడతాయి మరియు వెంటనే తొలగించబడతాయి, కనీస ఫోరెన్సిక్ జాడలను వదిలివేస్తాయి.
పద్ధతి ప్రకారం, అనుకూలత ప్రకారం, మరియు రహస్యంగా ముందుండి
కర్లీ కామ్రేడ్లు కొత్తదనం కంటే దొంగతనానికే ప్రాధాన్యతనిస్తారు, జీరో-డే దుర్బలత్వాలను ఉపయోగించుకోవడం కంటే పబ్లిక్ టూల్స్, ఓపెన్-సోర్స్ యుటిలిటీలు మరియు LOLBins పై ఆధారపడతారు. వారి కార్యకలాపాలు తక్కువ-శబ్దం నిలకడ మరియు అనుకూలతను నొక్కి చెబుతాయి, అనుమానం రాకుండా దీర్ఘకాలిక నియంత్రణను నిర్వహించడానికి సాధారణ మరియు అనుకూలీకరించిన సాధనాలను ఉపయోగిస్తాయి.
