Kıvırcık Yoldaşlar APT
Curly COMrades adlı, daha önce belgelenmemiş bir siber tehdit grubunun Gürcistan ve Moldova'daki önemli kuruluşları hedef aldığı gözlemlendi. Bu kampanyanın, hedeflenen ağlara uzun vadeli sızma ve istihbarat toplamaya yönelik olduğu anlaşılıyor. Grubun faaliyetleri, Rusya'nın jeopolitik çıkarlarıyla uyumlu, hesaplı, ısrarcı ve gizliliğe dayalı bir yaklaşımı ortaya koyuyor.
İçindekiler
Yüksek Değerli Hedefler ve Erken Faaliyet
Grup, 2024 ortalarından bu yana Gürcistan'daki yargı ve hükümet organları ile Moldova'daki bir enerji dağıtım şirketine odaklandı. Saldırı verilerinin analizi, operasyonun ilk düşünülenden daha erken başladığını gösteriyor. Özel arka kapıları MucorAgent'ın doğrulanmış en erken kullanımı Kasım 2023'e dayanıyor, ancak faaliyet muhtemelen daha önce başlamıştı.
Stratejik Hedefler ve Taktikler
Curly COMrades'in nihai hedefi, keşif, kimlik hırsızlığı ve daha derin yatay hareket kabiliyeti sağlayan uzun süreli ağ erişimidir. Standart saldırı tekniklerini, meşru sistem operasyonlarıyla uyum sağlayacak şekilde özel uygulamalarla birleştirirler. Kampanyaları şu şekilde öne çıkar:
- Erişimi iyileştirmek için tekrarlanan deneme-yanılma
- Dayanıklılığı sağlamak için gereksiz yöntemler
- Algılanmayı önlemek için kademeli kurulum adımları
Kimlik Hırsızlığı Özünde
Saldırganlar, parola karmalarını ve kimlik doğrulama verilerini hedef alarak etki alanı denetleyicilerinden NTDS veritabanı dosyalarını defalarca sızdırmaya çalıştılar. Ayrıca, olası düz metin parolaları da dahil olmak üzere etkin kullanıcı kimlik bilgilerini kurtarmak amacıyla seçili makinelerden LSASS belleğini de boşaltmaya çalıştılar.
Gizlilik İçin Meşru Araçların Kötüye Kullanımı
Curly COMrades'in operasyonlarının ayırt edici özelliklerinden biri, kötü amaçlı faaliyetleri maskelemek için güvenilir yazılım ve hizmetlerin kullanılmasıdır. Dikkat çeken araçlar şunlardır:
Resocks, SOCKS5, SSH ve Stunnel – dahili ağlara çoklu erişim tünelleri oluşturma ve uzaktan komut yürütmeyi etkinleştirme.
Meşru ama tehlikeye atılmış web siteleri – C2 trafiği ve veri sızdırma için gizli röleler olarak hareket ederek, normal ağ akışlarıyla harmanlanıyor.
Silahlandırılmış ek araçlar:
- CurlCat – tehlikeye atılmış siteler üzerinden HTTPS üzerinden çift yönlü veri aktarımı
- RuRat – kalıcı kontrol için kullanılan meşru bir RMM aracı
- Mimikatz – hafızadan kimlik bilgisi toplama
- Keşif için yaygın Windows komutları (netstat, tasklist, systeminfo, ipconfig, ping)
- Gizli veri sızdırma için curl ile PowerShell betikleri
MucorAgent: Özel Bir Kalıcılık Silahı
Kampanyanın merkezinde, .NET Framework'ün yerleşik bir bileşeni olan Yerel Görüntü Oluşturucu'ya (Ngen) bağlı COM Sınıf Tanımlayıcılarını (CLSID'ler) ele geçiren özel bir .NET arka kapısı olan MucorAgent yer alıyor.
Ngen, derlemeleri önceden derlemek üzere tasarlanmış olsa da gizli bir kalıcılık mekanizması olarak hizmet verebilir. Saldırganlar, Ngen'e bağlı devre dışı bırakılmış bir zamanlanmış görevi kullanır ve bu görev, boşta kalma süreleri veya uygulama dağıtımları sırasında zaman zaman beklenmedik şekilde tetiklenerek, alarmları tetiklemeden SİSTEM düzeyinde erişimi geri yüklemelerine olanak tanır.
MucorAgent implantı, şifrelenmiş PowerShell betiklerini çalıştırarak ve sonuçları saldırgan kontrolündeki sunuculara göndererek üç aşamada çalışır. Yükler belleğe yüklenir ve hemen ardından silinir, böylece minimum düzeyde adli iz kalır.
Metodik, Uyarlanabilir ve Gizliliğe Öncelik Veren
Curly COMrades, sıfırıncı gün zafiyetlerinden yararlanmak yerine herkese açık araçlara, açık kaynaklı yardımcı programlara ve LOLBin'lere güvenerek, yenilik yerine gizliliğe öncelik verir. Operasyonları, şüphe uyandırmadan uzun vadeli kontrolü sağlamak için hem yaygın hem de özelleştirilmiş araçlar kullanarak düşük gürültülü kalıcılık ve uyarlanabilirliğe odaklanır.
