Curly COMrades tevékenyésgei Grúziában és Moldovában
Egy korábban nem dokumentált, Curly COMrades névre keresztelt fenyegető szereplőről derült ki, hogy grúz és moldovai szervezeteket vett célba egy olyan kiberkémkedési kampány részeként, amelynek célja a célhálózatokhoz való hosszú távú hozzáférés megteremtése volt. A Bitdefender Labs kutatása részletesen bemutatja a Curly COMrades csoportot, amelyet 2024 közepe óta követnek nyomon. A jelentés szerint a csoport orosz érdekeket támogat, és olyan országok kritikus szervezeteit vette célba, amelyek jelentős geopolitikai változásokkal szembesülnek.
A csoport elsődleges célja, hogy hosszú távú hozzáférést biztosítson a célhálózatokhoz és érvényes hitelesítő adatokat lopjon el. Ez lehetővé teszi számukra, hogy a hálózaton belül mozogjanak és adatokat gyűjtsenek. Megpróbálták kivonni az NTDS adatbázist a tartományvezérlőkből, amelyek a Windows hálózatokban a felhasználói jelszavak hash-értékeit és hitelesítési adatait tárolják. Ezenkívül megpróbálták dumpolni az LSASS memóriát bizonyos rendszerekből, hogy visszaszerezzék az aktív felhasználói hitelesítő adatokat, potenciálisan a plain text jelszavakat azokról a gépekről, amelyeken a felhasználók be voltak jelentkezve.
A csoport arról kapta a nevét, hogy nagymértékben támaszkodik a curl segédprogramra a C2 és az adatátvitel terén, valamint a COM objektumok eltérítésére. A támadások egyik figyelemre méltó aspektusa, hogy olyan legitim eszközöket használnak, mint a Resocks, az SSH és a Stunnel. A Resocks mellett egy másik proxy eszköz is bevetésre kerül, a SOCKS5. Jelenleg nem ismert, hogy a támadó pontosan milyen kezdeti hozzáférési vektort alkalmazott.
A fertőzött végpontokhoz való tartós hozzáférés egy MucorAgent nevű, egyedi backdoor segítségével valósul meg, amely eltéríti a CLSID-ket, hogy megcélozza a Native Image Generator (Ngen) szolgáltatást.
