Curly COMrades APT
Eine bislang undokumentierte Cyber-Bedrohungsgruppe namens Curly COMrades wurde dabei beobachtet, wie sie hochrangige Organisationen in Georgien und Moldawien ins Visier nahm. Diese Kampagne zielt offenbar auf langfristige Infiltration und Informationsbeschaffung in den betroffenen Netzwerken ab. Die Aktivitäten der Gruppe zeugen von einem kalkulierten, hartnäckigen und heimlichen Vorgehen, das mit den geopolitischen Interessen Russlands im Einklang steht.
Inhaltsverzeichnis
Hochwertige Ziele und frühe Aktivitäten
Seit Mitte 2024 konzentriert sich die Gruppe auf Justiz- und Regierungsbehörden in Georgien sowie ein Energieversorgungsunternehmen in Moldawien. Die Analyse der Angriffsartefakte zeigt, dass die Operation früher begann als zunächst angenommen. Der früheste bestätigte Einsatz ihrer maßgeschneiderten Backdoor MucorAgent datiert auf November 2023, obwohl die Aktivitäten wahrscheinlich schon vorher begannen.
Strategische Ziele und Taktiken
Das Endziel der Curly COMrades ist ein verlängerter Netzwerkzugriff, der Aufklärung, Diebstahl von Anmeldeinformationen und tiefere laterale Bewegungen ermöglicht. Sie kombinieren Standardangriffstechniken mit benutzerdefinierten Implementierungen, um sich in legitime Systemoperationen einzufügen. Ihre Kampagne zeichnet sich durch Folgendes aus:
- Wiederholtes Ausprobieren zur Verfeinerung des Zugriffs
- Redundante Methoden zur Gewährleistung der Resilienz
- Inkrementelle Einrichtungsschritte, um eine Erkennung zu vermeiden
Diebstahl von Anmeldeinformationen im Kern
Die Angreifer versuchten wiederholt, NTDS-Datenbankdateien von Domänencontrollern zu exfiltrieren und zielten dabei auf Passwort-Hashes und Authentifizierungsdaten ab. Sie versuchten außerdem, den LSASS-Speicher ausgewählter Maschinen zu dumpen, um aktive Benutzeranmeldeinformationen, darunter möglicherweise auch Klartext-Passwörter, wiederherzustellen.
Missbrauch legitimer Tools für Stealth-Aktivitäten
Ein Markenzeichen der Aktivitäten von Curly COMrades ist die Verwendung vertrauenswürdiger Software und Dienste zur Verschleierung bösartiger Aktivitäten. Zu den wichtigsten Tools gehören:
Resocks, SOCKS5, SSH und Stunnel – Erstellen mehrerer Zugriffstunnel in interne Netzwerke und Ermöglichen der Remote-Befehlsausführung.
Legitime, aber kompromittierte Websites – fungieren als verdeckte Relais für C2-Verkehr und Datenexfiltration und vermischen sich mit normalen Netzwerkflüssen.
Zusätzliche waffenfähige Dienstprogramme:
- CurlCat – bidirektionale Datenübertragung über HTTPS über kompromittierte Websites
MucorAgent: Eine benutzerdefinierte Persistenzwaffe
Im Mittelpunkt der Kampagne steht MucorAgent, eine maßgeschneiderte .NET-Hintertür, die COM Class Identifiers (CLSIDs) kapert, die mit dem Native Image Generator (Ngen), einer integrierten .NET Framework-Komponente, verknüpft sind.
Ngen wurde zwar für die Vorkompilierung von Assemblys entwickelt, kann aber auch als verdeckter Persistenzmechanismus dienen. Die Angreifer nutzen eine deaktivierte, geplante Aufgabe in Ngen aus, die gelegentlich während Leerlaufzeiten oder Anwendungsbereitstellungen unvorhersehbar ausgelöst wird. So können sie den Zugriff auf SYSTEM-Ebene wiederherstellen, ohne Alarme auszulösen.
Das MucorAgent-Implantat arbeitet in drei Phasen: Es führt verschlüsselte PowerShell-Skripte aus und sendet die Ergebnisse an vom Angreifer kontrollierte Server. Die Nutzdaten werden in den Speicher geladen und anschließend sofort wieder gelöscht, sodass nur minimale forensische Spuren entstehen.
Methodisch, anpassungsfähig und Stealth-First
Curly COMrades bevorzugen Tarnung gegenüber Neuerungen und setzen auf öffentliche Tools, Open-Source-Dienstprogramme und LOLBins, anstatt Zero-Day-Schwachstellen auszunutzen. Bei ihren Operationen legen sie Wert auf geringe Persistenz und Anpassungsfähigkeit und nutzen sowohl gängige als auch maßgeschneiderte Tools, um die Kontrolle langfristig aufrechtzuerhalten, ohne Verdacht zu erregen.
