Een eerder acteur zonder papieren bedreiging nagesynchroniseerd Krullende kameraden is waargenomen targeting-entiteiten in Georgië en Moldavië als onderdeel van een cyberspionage-campagne die is ontworpen om de toegang op lange termijn tot doelnetwerken te vergemakkelijken.
“Ze probeerden herhaaldelijk de NTDS -database te extraheren van domeincontrollers – de primaire repository voor gebruikerswachtwoordhashes en authenticatiegegevens in een Windows -netwerk,” zei Bitdefender in een rapport dat werd gedeeld met het Hacker News. “Bovendien probeerden ze LSASS-geheugen uit specifieke systemen te dumpen om actieve gebruikersreferenties, mogelijk gewone tekstwachtwoorden, te herstellen van machines waar gebruikers werden aangemeld.”
De activiteit, gevolgd door het Roemeense cybersecuritybedrijf sinds medio 2024, heeft gerechtelijke en overheidsinstanties in Georgië uitgekozen, evenals een energiedistributiebedrijf in Moldavië.
“Wat betreft de tijdlijn, hoewel we de campagne sinds medio 2024 volgen, geeft onze analyse van de artefacten aan dat de activiteit eerder begon”, vertelde Martin Zugec, directeur van Technical Solutions bij Bitdefender, aan de publicatie. “De vroegste bevestigde datum die we hebben voor het gebruik van de mucoragent -malware is november 2023, hoewel het zeer waarschijnlijk is dat de groep vóór die tijd actief was.”
Krullende kameraden worden beoordeeld te werken met doelen die zijn afgestemd op de geopolitieke strategie van Rusland. Het haalt zijn naam aan de zware afhankelijkheid van het Curl-hulpprogramma voor command-and-control (C2) en gegevensoverdracht, en de kaping van het Component Object Model (COM) -objecten.
Het einddoel van de aanvallen is om langetermijntoegang mogelijk te maken om verkennings- en diefstal van referenties uit te voeren, en die informatie te benutten om dieper in het netwerk te graven, gegevens te verzamelen met behulp van aangepaste tools en exfiltraat voor aanvallergestuurde infrastructuur.
“Het algemene gedrag duidt op een methodische benadering waarbij de aanvallers standaardaanvaltechnieken combineerden met op maat gemaakte implementaties om te versmelten in legitieme systeemactiviteit,” merkte het bedrijf op. “Hun bewerkingen werden gekenmerkt door herhaalde trial-and-error, gebruik van redundante methoden en incrementele instellingen-allemaal gericht op het handhaven van een veerkrachtige en lage ruis voet aan de grond in meerdere systemen.”
Een opmerkelijk aspect van de aanvallen is het gebruik van legitieme tools zoals Resocks, SSH en Stunnel om meerdere leidingen in interne netwerken te maken en op afstand opdrachten uit te voeren met behulp van de gestolen referenties. Een andere proxy -tool die naast Resocks wordt geïmplementeerd, is Socks5. De exacte initiële toegangsvector die door de dreigingsacteur wordt gebruikt, is momenteel niet bekend.
Aanhoudende toegang tot de geïnfecteerde eindpunten wordt bereikt door middel van een op maat gemaakte achterdeur genaamd Mucoragent, die klasse-identificatiegegevens (CLSID’s) kapen-wereldwijd unieke identificatiegegevens die een COM-klasse-object identificeren-om zich te richten
“NGEN, een standaard Windows .NET-framework-component die assemblages vooraf compileert, biedt een mechanisme voor persistentie via een gehandicapte geplande taak,” merkte Bitdefender op. “Deze taak lijkt inactief, maar het besturingssysteem maakt het af en toe mogelijk met onvoorspelbare intervallen (zoals tijdens inactiviteitstijden van het systeem of nieuwe toepassingsimplementaties), waardoor het een geweldig mechanisme is om de toegang heimelijk te herstellen.”
Het misbruiken van de CLSID die is gekoppeld aan NGen onderstreept de technische bekwaamheid van de tegenstander, terwijl ze de mogelijkheid geven om kwaadaardige opdrachten uit te voeren onder het zeer bevoorrechte systeemaccount. Er wordt vermoed dat er waarschijnlijk een betrouwbaarder mechanisme bestaat voor het uitvoeren van de specifieke taak gezien de algehele onvoorspelbaarheid die verband houdt met NGen.
Een modulair .NET-implantaat, mucoragent wordt gelanceerd via een drie-fasen proces en is in staat om een gecodeerd PowerShell-script uit te voeren en de uitvoer naar een aangewezen server te uploaden. Bitdefender zei dat het geen andere PowerShell -payloads had teruggevonden.
“Het ontwerp van de mucoragent suggereert dat het waarschijnlijk bedoeld was om te functioneren als een achterdeur die in staat was om periodieke ladingen uit te voeren,” legde het bedrijf uit. “Elke gecodeerde payload wordt verwijderd nadat hij in het geheugen is geladen, en er is geen extra mechanisme geïdentificeerd voor het regelmatig afleveren van nieuwe ladingen.”
Ook bewapend door krullende kameraden zijn legitieme maar gecompromitteerde websites voor gebruik als relais tijdens C2-communicatie en gegevens exfiltratie in een poging om onder de radar te vliegen door kwaadaardig verkeer te combineren met normale netwerkactiviteit. Sommige van de andere tools die in de aanvallen zijn waargenomen, worden hieronder vermeld –
- Curlcat, die wordt gebruikt om bidirectionele gegevensoverdracht tussen standaardinvoer- en uitvoerstromen (STDIN en Stdout) en C2 -server te vergemakkelijken via HTTPS door het verkeer via een gecompromitteerde site te sturen
- Rurat, een legitiem externe monitoring- en managementprogramma (RMM) -programma voor aanhoudende toegang
- Mimikatz, die wordt gebruikt om referenties uit het geheugen te extraheren
- Verschillende ingebouwde opdrachten zoals NetStat, Tasklist, SystemInfo, Ipconfig en Ping om ontdekking te doen
- PowerShell -scripts die CURL gebruiken om gestolen gegevens te exfiltreren (bijv. Referenties, domeininformatie en interne toepassingsgegevens)
“De geanalyseerde campagne onthulde een zeer hardnekkige en aanpasbare dreigingsacteur die een breed scala van bekende en aangepaste technieken gebruikt om langetermijntoegang binnen gerichte omgevingen op te zetten en te handhaven,” zei Bitdefender.
“De aanvallers vertrouwden sterk op openbaar beschikbare tools, open-source projecten en lolbins, die een voorkeur toonden voor stealth, flexibiliteit en minimale detectie in plaats van nieuwe kwetsbaarheden te benutten.”
