Kulot na COMrades APT

Ang isang dating hindi dokumentadong cyber threat group, na tinawag na Curly COMrades, ay naobserbahang nagta-target sa mga high-profile na entity sa Georgia at Moldova. Lumilitaw na ang kampanyang ito ay nakatuon sa pangmatagalang paglusot at pangangalap ng katalinuhan sa loob ng mga naka-target na network. Ang mga aktibidad ng grupo ay nagpapakita ng isang kalkulado, paulit-ulit, at stealth-oriented na diskarte na nakahanay sa mga geopolitical na interes ng Russia.

Mga High-Value Target at Maagang Aktibidad

Mula noong kalagitnaan ng 2024, nakatuon ang grupo sa mga hudikatura at mga katawan ng gobyerno sa Georgia at isang kumpanya ng pamamahagi ng enerhiya sa Moldova. Ipinapakita ng pagsusuri sa mga artifact ng pag-atake na nagsimula ang operasyon nang mas maaga kaysa sa unang naisip, ang pinakamaagang nakumpirmang paggamit ng kanilang custom na backdoor, MucorAgent, ay nagsimula noong Nobyembre 2023, kahit na malamang na nagsimula ang aktibidad bago iyon.

Mga Madiskarteng Layunin at Taktika

Ang endgame para sa Curly COMrades ay matagal na pag-access sa network, na nagbibigay-daan sa reconnaissance, pagnanakaw ng kredensyal, at mas malalim na paggalaw sa gilid. Pinagsasama nila ang mga karaniwang diskarte sa pag-atake sa mga pasadyang pagpapatupad upang ihalo sa mga lehitimong pagpapatakbo ng system. Ang kanilang kampanya ay minarkahan ng:

• Paulit-ulit na trial-and-error para pinuhin ang access
• Mga paulit-ulit na pamamaraan upang matiyak ang katatagan
• Mga incremental na hakbang sa pag-setup upang maiwasan ang pagtuklas

Pagnanakaw ng Kredensyal sa Ubod

Paulit-ulit na sinubukan ng mga umaatake na i-exfiltrate ang mga file ng database ng NTDS mula sa mga controller ng domain, na nagta-target ng mga hash ng password at data ng pagpapatunay. Sinubukan din nilang itapon ang memorya ng LSASS mula sa mga napiling makina, na naglalayong mabawi ang mga aktibong kredensyal ng user, kabilang ang mga posibleng plaintext na password.

Pang-aabuso sa Mga Lehitimong Tool para sa Stealth

Ang isang tanda ng mga operasyon ng Curly COMrades ay ang paggamit ng pinagkakatiwalaang software at mga serbisyo upang itago ang malisyosong aktibidad. Kabilang sa mga kilalang tool ang:

Resocks, SOCKS5, SSH, at Stunnel – lumilikha ng maraming access tunnel sa mga panloob na network at pinapagana ang remote na pagpapatupad ng command.

Mga lehitimong-ngunit-nakompromiso na mga website – kumikilos bilang mga tago na relay para sa trapiko ng C2 at pag-exfiltrate ng data, na sumasabay sa mga normal na daloy ng network.

Karagdagang mga kagamitan sa armas:

• CurlCat – bidirectional data transfer sa HTTPS sa pamamagitan ng mga nakompromisong site

• RuRat – isang lehitimong RMM tool na ginagamit para sa patuloy na kontrol

• Mimikatz – pag-aani ng kredensyal mula sa memorya

• Mga karaniwang utos sa Windows (netstat, tasklist, systeminfo, ipconfig, ping) para sa reconnaissance

• Mga PowerShell script na may curl para sa palihim na pag-exfiltrate ng data

MucorAgent: Isang Custom na Armas sa Pagtitiyaga

Sa gitna ng kampanya ay ang MucorAgent, isang pasadyang .NET backdoor na nag-hijack ng COM Class Identifiers (CLSIDs) na naka-link sa Native Image Generator (Ngen), isang built-in na .NET Framework component.

Ang Ngen, bagama't idinisenyo upang paunang mag-compile ng mga asembliya, ay maaaring magsilbi bilang isang lihim na mekanismo ng pagtitiyaga. Sinasamantala ng mga umaatake ang isang naka-disable na naka-iskedyul na gawain na nakatali sa Ngen, na paminsan-minsan ay nagti-trigger nang hindi mahuhulaan, sa mga oras ng idle o mga pag-deploy ng application, na nagpapahintulot sa kanila na ibalik ang access sa antas ng SYSTEM nang hindi nagti-trigger ng mga alarma.

Gumagana ang MucorAgent implant sa tatlong yugto, na nagpapatupad ng mga naka-encrypt na PowerShell script at nagpapadala ng mga resulta sa mga server na kinokontrol ng attacker. Ang mga payload ay nilo-load sa memorya at agad na tinanggal pagkatapos, na nag-iiwan ng kaunting mga forensic na bakas.

Methodical, Adaptive, at Stealth-First

Ang mga Curly COMrades ay nagpapakita ng isang kagustuhan para sa stealth kaysa sa bago, umaasa sa mga pampublikong tool, open-source na utility, at LOLBins kaysa sa pagsasamantala ng mga zero-day na kahinaan. Ang kanilang mga operasyon ay nagbibigay-diin sa mababang-ingay na pagtitiyaga at kakayahang umangkop, gamit ang parehong karaniwan at customized na mga tool upang mapanatili ang pangmatagalang kontrol nang hindi nagtataas ng hinala.