Curly COMrades APT
Một nhóm đe dọa mạng chưa từng được ghi nhận trước đây, có tên Curly COMrades, đã bị phát hiện nhắm mục tiêu vào các thực thể cấp cao ở Georgia và Moldova. Chiến dịch này dường như hướng đến việc xâm nhập và thu thập thông tin tình báo lâu dài trong các mạng lưới mục tiêu. Các hoạt động của nhóm này cho thấy một cách tiếp cận có tính toán, dai dẳng và lén lút, phù hợp với lợi ích địa chính trị của Nga.
Mục lục
Mục tiêu có giá trị cao và hoạt động ban đầu
Từ giữa năm 2024, nhóm này đã tập trung vào các cơ quan tư pháp và chính phủ ở Georgia và một công ty phân phối năng lượng ở Moldova. Phân tích các hiện vật tấn công cho thấy hoạt động này bắt đầu sớm hơn dự kiến ban đầu, lần sử dụng backdoor tùy chỉnh MucorAgent sớm nhất được xác nhận của chúng là vào tháng 11 năm 2023, mặc dù hoạt động có thể đã bắt đầu trước đó.
Mục tiêu và chiến thuật chiến lược
Mục tiêu cuối cùng của Curly COMrades là kéo dài thời gian truy cập mạng, cho phép do thám, đánh cắp thông tin đăng nhập và xâm nhập sâu hơn vào hệ thống. Chúng kết hợp các kỹ thuật tấn công tiêu chuẩn với các triển khai tùy chỉnh để trà trộn vào các hoạt động hệ thống hợp pháp. Chiến dịch của chúng được đánh dấu bằng:
- Thử nghiệm và sai sót nhiều lần để tinh chỉnh quyền truy cập
- Các phương pháp dự phòng để đảm bảo khả năng phục hồi
- Các bước thiết lập gia tăng để tránh bị phát hiện
Trộm cắp thông tin xác thực ở cốt lõi
Những kẻ tấn công đã nhiều lần cố gắng đánh cắp các tệp cơ sở dữ liệu NTDS từ bộ điều khiển miền, nhắm mục tiêu vào các hàm băm mật khẩu và dữ liệu xác thực. Chúng cũng cố gắng dump bộ nhớ LSASS từ các máy được chọn, nhằm mục đích khôi phục thông tin đăng nhập người dùng đang hoạt động, bao gồm cả mật khẩu dạng văn bản thuần túy.
Lạm dụng các công cụ hợp pháp để tàng hình
Một đặc điểm nổi bật trong hoạt động của Curly COMrades là sử dụng phần mềm và dịch vụ đáng tin cậy để che giấu hoạt động độc hại. Các công cụ đáng chú ý bao gồm:
Resocks, SOCKS5, SSH và Stunnel – tạo nhiều đường hầm truy cập vào mạng nội bộ và cho phép thực hiện lệnh từ xa.
Các trang web hợp pháp nhưng bị xâm phạm – hoạt động như các rơle bí mật cho lưu lượng C2 và rò rỉ dữ liệu, hòa trộn với luồng mạng bình thường.
Tiện ích vũ khí bổ sung:
- CurlCat – truyền dữ liệu hai chiều qua HTTPS thông qua các trang web bị xâm phạm
MucorAgent: Vũ khí bền bỉ tùy chỉnh
Trọng tâm của chiến dịch này là MucorAgent, một backdoor .NET được thiết kế riêng để chiếm đoạt COM Class Identifiers (CLSID) được liên kết với Native Image Generator (Ngen), một thành phần tích hợp sẵn của .NET Framework.
Ngen, mặc dù được thiết kế để biên dịch trước các tập lệnh, có thể hoạt động như một cơ chế duy trì ngầm. Kẻ tấn công khai thác một tác vụ theo lịch trình bị vô hiệu hóa gắn liền với Ngen, đôi khi kích hoạt một cách bất ngờ, trong thời gian nhàn rỗi hoặc khi triển khai ứng dụng, cho phép chúng khôi phục quyền truy cập cấp HỆ THỐNG mà không kích hoạt báo động.
Cấy ghép MucorAgent hoạt động theo ba giai đoạn: thực thi các tập lệnh PowerShell được mã hóa và gửi kết quả đến các máy chủ do kẻ tấn công kiểm soát. Các tải trọng được tải vào bộ nhớ và bị xóa ngay sau đó, để lại rất ít dấu vết pháp y.
Có phương pháp, thích ứng và bí mật trước tiên
Curly COMrades thể hiện sự ưa chuộng tính ẩn danh hơn là tính mới lạ, dựa vào các công cụ công cộng, tiện ích nguồn mở và LOLBins thay vì khai thác lỗ hổng zero-day. Hoạt động của họ nhấn mạnh vào tính bền bỉ và khả năng thích ứng thấp, sử dụng cả các công cụ phổ biến và tùy chỉnh để duy trì kiểm soát lâu dài mà không gây nghi ngờ.
