Кучерявий COMrades APT
Було помічено, що раніше не документоване угруповання кіберзлочинців під назвою Curly COMrades було спрямоване на відомі організації в Грузії та Молдові. Ця кампанія, схоже, спрямована на довгострокове проникнення та збір розвідувальних даних у цільових мережах. Діяльність угруповання свідчить про розрахований, наполегливий та прихований підхід, що відповідає геополітичним інтересам Росії.
Зміст
Цілі з високою цінністю та рання активність
З середини 2024 року група зосередилася на судових та урядових органах Грузії, а також на енергорозподільчій компанії в Молдові. Аналіз артефактів атаки показує, що операція розпочалася раніше, ніж вважалося спочатку, найдавніше підтверджене використання їхнього спеціального бекдору MucorAgent датується листопадом 2023 року, хоча активність, ймовірно, почалася раніше.
Стратегічні цілі та тактика
Кінцевою метою для Curly COMrades є тривалий доступ до мережі, що дозволяє проводити розвідку, крадіжку облікових даних та глибше переміщення. Вони поєднують стандартні методи атаки з індивідуальними реалізаціями, щоб інтегруватися в легітимні операції системи. Їхня кампанія характеризується:
- Повторні спроби та помилки для уточнення доступу
- Надлишкові методи забезпечення стійкості
- Покрокові кроки налаштування, щоб уникнути виявлення
Крадіжка облікових даних в основі
Зловмисники неодноразово намагалися викрасти файли бази даних NTDS з контролерів домену, атакуючи хеші паролів та дані автентифікації. Вони також намагалися зробити дамп пам'яті LSASS з вибраних машин, прагнучи відновити облікові дані активних користувачів, включаючи можливі паролі у відкритому тексті.
Зловживання законними інструментами для приховування
Відмінною рисою діяльності Curly COMrades є використання надійного програмного забезпечення та сервісів для маскування шкідливої активності. Серед відомих інструментів:
Resocks, SOCKS5, SSH та Stunnel – створення кількох тунелів доступу до внутрішніх мереж та забезпечення можливості віддаленого виконання команд.
Легітимні, але скомпрометовані вебсайти – діють як приховані ретранслятори для трафіку C2 та витоку даних, змішуючись зі звичайними мережевими потоками.
Додаткові утиліти для зброї:
- CurlCat – двонаправлена передача даних через HTTPS через скомпрометовані сайти
- RuRat – легітимний інструмент RMM, що використовується для постійного контролю
- Мімікац – збір даних з пам'яті
- Звичайні команди Windows (netstat, tasklist, systeminfo, ipconfig, ping) для розвідки
- Скрипти PowerShell з curl для прихованого витоку даних
MucorAgent: Спеціальна зброя наполегливості
В основі кампанії лежить MucorAgent, спеціально розроблений бекдор для .NET, який викрадає ідентифікатори COM-класів (CLSID), пов'язані з Native Image Generator (Ngen), вбудованим компонентом .NET Framework.
Ngen, хоча й розроблений для попередньої компіляції збірок, може служити прихованим механізмом збереження. Зловмисники використовують вимкнене заплановане завдання, пов'язане з Ngen, яке іноді спрацьовує непередбачувано, під час простою або розгортання програм, що дозволяє їм відновлювати доступ на рівні СИСТЕМИ без спрацьовування тривог.
Імплантат MucorAgent працює у три етапи: виконує зашифровані скрипти PowerShell та надсилає результати на сервери, контрольовані зловмисником. Корисні дані завантажуються в пам'ять і одразу після цього видаляються, залишаючи мінімальні сліди експертизи.
Методичний, адаптивний та прихований
Кучеряві COMrades демонструють перевагу скритності над новизною, покладаючись на загальнодоступні інструменти, утиліти з відкритим кодом та LOLBins, а не на використання вразливостей нульового дня. Їхні операції зосереджені на низькому рівні шуму та адаптивності, використовуючи як поширені, так і спеціалізовані інструменти для підтримки довгострокового контролю, не викликаючи підозр.
