Bitdefender Labs đã xác định một nhóm mối đe dọa mạng tiên tiến và tinh vi (APT) có tên gọi “Curly COMrades APT”. Nhóm này đã hoạt động từ giữa năm 2024, nhắm mục tiêu vào cơ sở hạ tầng quan trọng tại các khu vực nhạy cảm về địa chính trị.

Tổng quan về Nhóm APT Curly COMrades

Diễn viên liên kết với Nga này đã tập trung vào các thực thể tư pháp và chính phủ ở Georgia, cùng với một công ty phân phối năng lượng tại Moldova.

Chiến thuật của nhóm nhấn mạnh tính ẩn danh để đảm bảo quyền truy cập mạng lâu dài và trích xuất dữ liệu nhạy cảm.

Chiến thuật và Kỹ thuật Tấn công

Đánh cắp Thông tin Đăng nhập và Di chuyển Ngang

Các hoạt động của Curly COMrades APT đặt trọng tâm vào việc đánh cắp thông tin đăng nhập.

Nhóm sử dụng các công cụ chuyển tiếp proxy và một backdoor mới có tên MucorAgent để duy trì quyền truy cập và né tránh phát hiện.

Kẻ tấn công thiết lập nhiều điểm truy cập bằng cách lợi dụng thông tin đăng nhập bị đánh cắp.

Chúng thực thi các lệnh từ xa qua các tiện ích tương tự Impacket để thực hiện di chuyển ngang và thu thập dữ liệu.

Quá trình thu thập thông tin đăng nhập liên quan đến các nỗ lực lặp đi lặp lại nhằm trích xuất cơ sở dữ liệu NTDS từ các bộ điều khiển miền.

Các kỹ thuật này bao gồm thao tác với Volume Shadow Copy Service và trích xuất bộ nhớ LSASS.

Nhóm sử dụng các biến thể của Mimikatz, Procdump và các bộ nạp tùy chỉnh được điều chỉnh từ các dự án mã nguồn mở như TrickDump.

Cơ chế Che giấu và Giao tiếp C2

Cách tiếp cận của Curly COMrades APT kết hợp các công cụ hợp pháp với mã độc tùy chỉnh.

Chúng định tuyến lưu lượng command-and-control (C2) qua các trang web bị xâm nhập để che giấu hoạt động trong các luồng mạng bình thường.

Sự tinh vi về kỹ thuật của chiến dịch thể hiện rõ qua việc triển khai các công cụ proxy.

• Resocks
• SSH kết hợp với Stunnel
• Các máy chủ SOCKS5 tùy chỉnh

Các công cụ này thường được làm xáo trộn bằng các tiện ích như Garble nhằm cản trở quá trình dịch ngược.

Backdoor MucorAgent và Kỹ thuật Duy trì Quyền Truy Cập

MucorAgent: Backdoor .NET Ba Giai đoạn

Một yếu tố nổi bật trong kho vũ khí của Curly COMrades APT là MucorAgent.

Đây là một backdoor .NET gồm ba giai đoạn, có khả năng vá Antimalware Scan Interface (AMSI).

Kỹ thuật này cho phép backdoor thực thi các script PowerShell được mã hóa mà không bị phát hiện.

Đầu ra của các lệnh này sau đó được trích xuất, ngụy trang thành các tệp PNG.

Lợi dụng Đối tượng COM và Tác vụ NGEN cho Duy trì Quyền Truy Cập

Khả năng duy trì quyền truy cập được Curly COMrades APT đạt được bằng cách chiếm quyền điều khiển các định danh lớp (CLSID) liên kết với các tác vụ Native Image Generator (NGEN) bị vô hiệu hóa.

Hệ thống sẽ kích hoạt các tác vụ này một cách ngẫu nhiên, cung cấp khả năng thực thi không thể đoán trước nhưng đáng tin cậy với đặc quyền SYSTEM.

Kỹ thuật này, kết hợp với các proxy dự phòng và công cụ quản lý từ xa hợp pháp như Remote Utilities, nhấn mạnh khả năng thích ứng và tập trung vào tính bền bỉ của nhóm chống lại các hoạt động gỡ bỏ.

Theo báo cáo của Bitdefender, tên gọi “Curly COMrades” phản ánh cả đặc điểm kỹ thuật của nhóm: sử dụng rộng rãi curl.exe cho C2 và kỹ thuật chiếm quyền điều khiển COM. Bạn có thể tìm hiểu thêm chi tiết trong báo cáo đầy đủ tại Bitdefender Business Insights.

Quy trình Trích xuất Dữ liệu

Quá trình trích xuất dữ liệu được thực hiện thủ công và có độ ồn thấp.

Dữ liệu được tập hợp trong các thư mục công khai trước khi được nén bằng RAR.

Sau đó, chúng được tải lên qua curl.exe đến các relay bị xâm nhập.

Dữ liệu thường được ngụy trang thành các tệp hình ảnh, được mã hóa AES và đóng gói trong định dạng PNG.

Khuyến nghị Tăng cường An ninh Mạng và Phát hiện

Các tổ chức được khuyến nghị triển khai các giải pháp phát hiện và phản hồi mở rộng (XDR) để phát hiện các bất thường.

Việc giám sát các nhị phân có khả năng lạm dụng hợp pháp (LOLBins) là rất quan trọng để phát hiện xâm nhập.

Cân nhắc sử dụng các dịch vụ phát hiện được quản lý có thể giúp lấp đầy các khoảng trống hoạt động trong đội ngũ bảo mật.

Chiến dịch Curly COMrades APT này một lần nữa nhấn mạnh sự phát triển liên tục của bối cảnh an ninh mạng, nơi các chiến thuật kết hợp khai thác niềm tin vào hạ tầng hợp pháp cho mục đích gián điệp bền vững.