Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Camaradas rizados APT

Camaradas rizados APT

Por Mezo en Amenaza persistente avanzada (APT), Software malicioso
Traducir a:

Se ha observado que un grupo de ciberamenazas, previamente no documentado, denominado Curly COMrades, ataca a entidades de alto perfil en Georgia y Moldavia. Esta campaña parece estar orientada a la infiltración a largo plazo y la recopilación de inteligencia dentro de redes específicas. Las actividades del grupo revelan un enfoque calculado, persistente y sigiloso, alineado con los intereses geopolíticos de Rusia.

Objetivos de alto valor y actividad temprana

Desde mediados de 2024, el grupo se ha centrado en organismos judiciales y gubernamentales de Georgia y en una empresa de distribución de energía de Moldavia. El análisis de los artefactos de ataque muestra que la operación comenzó antes de lo previsto; el primer uso confirmado de su puerta trasera personalizada, MucorAgent, data de noviembre de 2023, aunque es probable que la actividad comenzara antes.

Objetivos estratégicos y tácticas

El objetivo final de Curly COMrades es el acceso prolongado a la red, lo que permite el reconocimiento, el robo de credenciales y un mayor movimiento lateral. Combinan técnicas de ataque estándar con implementaciones personalizadas para integrarse en las operaciones legítimas del sistema. Su campaña se caracteriza por:

  • Prueba y error repetidos para refinar el acceso
  • Métodos redundantes para garantizar la resiliencia
  • Pasos de configuración incrementales para evitar la detección

El robo de credenciales en el núcleo

Los atacantes intentaron repetidamente exfiltrar archivos de bases de datos NTDS de los controladores de dominio, buscando hashes de contraseñas y datos de autenticación. También intentaron vaciar la memoria LSASS de ciertas máquinas para recuperar credenciales de usuarios activos, incluyendo posibles contraseñas en texto plano.

Abuso de herramientas legítimas para fines ocultos

Un sello distintivo de las operaciones de Curly COMrades es el uso de software y servicios confiables para enmascarar actividades maliciosas. Entre las herramientas más destacadas se incluyen:

Resocks, SOCKS5, SSH y Stunnel : crean múltiples túneles de acceso a redes internas y permiten la ejecución remota de comandos.

Sitios web legítimos pero comprometidos que actúan como relés encubiertos para el tráfico C2 y la exfiltración de datos y se mezclan con los flujos normales de la red.

Utilidades armadas adicionales:

  • CurlCat: transferencia de datos bidireccional a través de HTTPS mediante sitios comprometidos
  • RuRat: una herramienta RMM legítima utilizada para el control persistente
  • Mimikatz – Recopilación de credenciales de la memoria
  • Comandos comunes de Windows (netstat, tasklist, systeminfo, ipconfig, ping) para reconocimiento
  • Scripts de PowerShell con curl para la exfiltración sigilosa de datos

MucorAgent: Un arma de persistencia personalizada

En el corazón de la campaña se encuentra MucorAgent, una puerta trasera .NET hecha a medida que secuestra los identificadores de clase COM (CLSID) vinculados al generador de imágenes nativo (Ngen), un componente integrado de .NET Framework.

Ngen, aunque está diseñado para precompilar ensamblados, puede servir como un mecanismo de persistencia encubierto. Los atacantes explotan una tarea programada deshabilitada vinculada a Ngen, que ocasionalmente se activa de forma impredecible durante periodos de inactividad o implementaciones de aplicaciones, lo que les permite restaurar el acceso a nivel de SISTEMA sin activar alarmas.

El implante MucorAgent funciona en tres etapas: ejecuta scripts cifrados de PowerShell y envía los resultados a servidores controlados por el atacante. Las cargas útiles se cargan en la memoria y se eliminan inmediatamente después, dejando rastros forenses mínimos.

Metódico, adaptativo y sigiloso

Los Curly COMrades prefieren el sigilo a la novedad, recurriendo a herramientas públicas, utilidades de código abierto y LOLBins en lugar de explotar vulnerabilidades de día cero. Sus operaciones priorizan la persistencia y la adaptabilidad con poco ruido, utilizando herramientas comunes y personalizadas para mantener el control a largo plazo sin levantar sospechas.

Tendencias

Mas Visto

Cargando...