เพื่อนร่วมทีมหยิก APT

กลุ่มภัยคุกคามทางไซเบอร์ที่ไม่เคยมีการบันทึกมาก่อน ชื่อ Curly COMrades ถูกตรวจพบว่ากำลังโจมตีหน่วยงานระดับสูงในจอร์เจียและมอลโดวา ดูเหมือนว่าแผนการนี้มุ่งเน้นไปที่การแทรกซึมและรวบรวมข้อมูลข่าวกรองในระยะยาวภายในเครือข่ายเป้าหมาย กิจกรรมของกลุ่มนี้เผยให้เห็นถึงแนวทางที่รอบคอบ ต่อเนื่อง และเน้นการลอบเร้น ซึ่งสอดคล้องกับผลประโยชน์ทางภูมิรัฐศาสตร์ของรัสเซีย

เป้าหมายที่มีมูลค่าสูงและกิจกรรมเริ่มต้น

ตั้งแต่กลางปี 2024 กลุ่มนี้มุ่งเน้นไปที่หน่วยงานตุลาการและรัฐบาลในจอร์เจียและบริษัทจำหน่ายพลังงานในมอลโดวา การวิเคราะห์ข้อมูลการโจมตีแสดงให้เห็นว่าปฏิบัติการเริ่มต้นเร็วกว่าที่คิดไว้ในตอนแรก โดยการใช้งาน MucorAgent ซึ่งเป็นแบ็คดอร์แบบกำหนดเองที่ได้รับการยืนยันครั้งแรกนั้นย้อนกลับไปถึงเดือนพฤศจิกายน 2023 แม้ว่ากิจกรรมน่าจะเริ่มก่อนหน้านั้นก็ตาม

เป้าหมายและกลยุทธ์เชิงกลยุทธ์

จุดจบของ Curly COMrades คือการเข้าถึงเครือข่ายที่ขยายเวลาออกไป ช่วยให้สามารถลาดตระเวน ขโมยข้อมูลประจำตัว และเคลื่อนที่ไปด้านข้างได้ลึกขึ้น พวกเขาผสมผสานเทคนิคการโจมตีมาตรฐานเข้ากับการปรับแต่งเฉพาะเพื่อผสานเข้ากับปฏิบัติการระบบที่ถูกต้อง แคมเปญของพวกเขาโดดเด่นด้วย:

• การลองผิดลองถูกซ้ำแล้วซ้ำเล่าเพื่อปรับปรุงการเข้าถึง
• วิธีการซ้ำซ้อนเพื่อให้แน่ใจว่ามีความยืดหยุ่น
• ขั้นตอนการตั้งค่าเพิ่มเติมเพื่อหลีกเลี่ยงการตรวจจับ

การขโมยข้อมูลประจำตัวที่แกนกลาง

ผู้โจมตีพยายามขโมยไฟล์ฐานข้อมูล NTDS จากตัวควบคุมโดเมนซ้ำแล้วซ้ำเล่า โดยมุ่งเป้าไปที่แฮชรหัสผ่านและข้อมูลยืนยันตัวตน พวกเขายังพยายามถ่ายโอนข้อมูลหน่วยความจำ LSASS จากเครื่องที่เลือกไว้ โดยมุ่งเป้าไปที่การกู้คืนข้อมูลประจำตัวผู้ใช้ที่ใช้งานอยู่ รวมถึงรหัสผ่านแบบข้อความธรรมดาที่เป็นไปได้

การละเมิดเครื่องมือที่ถูกกฎหมายเพื่อการลักลอบ

จุดเด่นของการดำเนินงานของ Curly COMrades คือการใช้ซอฟต์แวร์และบริการที่เชื่อถือได้เพื่อปกปิดกิจกรรมที่เป็นอันตราย เครื่องมือที่โดดเด่น ได้แก่:

Resocks, SOCKS5, SSH และ Stunnel – สร้างอุโมงค์การเข้าถึงหลายรายการในเครือข่ายภายในและเปิดใช้งานการดำเนินการคำสั่งระยะไกล

เว็บไซต์ที่ถูกต้องตามกฎหมายแต่ถูกบุกรุก ทำหน้าที่เป็นตัวถ่ายทอดข้อมูลลับสำหรับการรับส่งข้อมูล C2 และการขโมยข้อมูล โดยผสมผสานกับการไหลของเครือข่ายปกติ

ยูทิลิตี้ติดอาวุธเพิ่มเติม:

• CurlCat – การถ่ายโอนข้อมูลแบบสองทิศทางผ่าน HTTPS ผ่านไซต์ที่ถูกบุกรุก

MucorAgent: อาวุธการคงอยู่แบบกำหนดเอง

หัวใจสำคัญของแคมเปญนี้คือ MucorAgent ซึ่งเป็นแบ็กดอร์ .NET ที่สร้างขึ้นโดยเฉพาะ ซึ่งเข้ายึดครอง COM Class Identifiers (CLSIDs) ที่เชื่อมโยงกับ Native Image Generator (Ngen) ซึ่งเป็นส่วนประกอบภายในของ .NET Framework

แม้ว่า Ngen จะถูกออกแบบมาเพื่อคอมไพล์แอสเซมบลีล่วงหน้า แต่ก็สามารถทำหน้าที่เป็นกลไกการคงอยู่แบบซ่อนเร้นได้ ผู้โจมตีใช้ประโยชน์จากงานตามกำหนดเวลาที่ถูกปิดใช้งานซึ่งเชื่อมโยงกับ Ngen ซึ่งบางครั้งอาจทำงานแบบไม่คาดคิดในช่วงเวลาที่ไม่ได้ใช้งานหรือระหว่างการปรับใช้แอปพลิเคชัน ช่วยให้พวกเขาสามารถกู้คืนการเข้าถึงระดับระบบได้โดยไม่ก่อให้เกิดสัญญาณเตือน

การฝัง MucorAgent ทำงานในสามขั้นตอน คือ รันสคริปต์ PowerShell ที่เข้ารหัสและส่งผลลัพธ์ไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม เพย์โหลดจะถูกโหลดเข้าสู่หน่วยความจำและลบออกทันทีหลังจากนั้น ทำให้เหลือร่องรอยทางนิติวิทยาศาสตร์เพียงเล็กน้อย

เป็นระบบ ปรับตัว และซ่อนตัวเป็นอันดับแรก

Curly COMrades แสดงให้เห็นถึงความชอบในความลึกลับมากกว่าความแปลกใหม่ โดยอาศัยเครื่องมือสาธารณะ ยูทิลิตี้โอเพนซอร์ส และ LOLBins แทนที่จะใช้ประโยชน์จากช่องโหว่แบบ Zero-day การดำเนินงานของพวกเขาเน้นย้ำถึงความคงทนและความสามารถในการปรับตัวที่ต่ำ โดยใช้เครื่องมือทั้งแบบทั่วไปและแบบเฉพาะ เพื่อรักษาการควบคุมในระยะยาวโดยไม่ก่อให้เกิดความสงสัย