Un actor de amenaza previamente indocumentado denominado Camaradas rizados Se ha observado entidades dirigidas a Georgia y Moldavia como parte de una campaña de ciber espionaje diseñada para entregar el camino a espacioso plazo a las redes objetivo.
«Repetidamente intentaron extraer la saco de datos NTDS de los controladores de dominio, el repositorio principal para los datos de hashs y autenticación de contraseña de afortunado en una red de Windows», dijo Bitdefender en un crónica compartido con Hacker News. «Adicionalmente, intentaron descargar la memoria LSASS de sistemas específicos para recuperar las credenciales activas de los usuarios, contraseñas potencialmente de texto sencillo, de máquinas donde los usuarios se iniciaron sesión».
La actividad, rastreada por la compañía rumana de ciberseguridad desde mediados de 2014, ha señalado organismos judiciales y gubernamentales en Georgia, así como una compañía de distribución de energía en Moldavia.
«Con respecto a la renglón de tiempo, mientras hemos estado rastreando la campaña desde mediados de 2014, nuestro descomposición de los artefactos indica que la actividad comenzó antiguamente», dijo Martin Zugec, director de soluciones técnicas de Bitdefender, a la publicación. «La aniversario más temprana confirmada que tenemos para el uso del malware mucoragente es noviembre de 2023, aunque es muy probable que el clan haya estado activo antiguamente de ese momento».
Se evalúa que los camaradas rizados operan con objetivos que están alineados con la logística geopolítica de Rusia. Obtiene su nombre de la gran dependencia de la utilidad de curl para el comando y el control (C2) y la transferencia de datos, y el secuestro de los objetos del maniquí de objeto componente (COM).
El objetivo final de los ataques es permitir el camino a espacioso plazo para sufrir a parte el robo de registro y credenciales, y exprimir esa información para echar tierra más profundamente en la red, compilar datos utilizando herramientas personalizadas y exfiltrarse a la infraestructura controlada por los atacantes.
«El comportamiento universal indica un enfoque metódico en el que los atacantes combinaron técnicas de ataque unificado con implementaciones personalizadas para combinarse con una actividad legítima del sistema», señaló la compañía. «Sus operaciones se caracterizaron por repetidos prueba y error, el uso de métodos redundantes y los pasos de configuración incrementales, todos destinados a nutrir un punto de apoyo resistente y de bajo ruido en múltiples sistemas».
Un aspecto sobresaliente de los ataques es el uso de herramientas legítimas como resrocas, SSH y Stunnel para crear múltiples conductos en redes internas y ejecutar comandos de forma remota utilizando las credenciales robadas. Otra aparejo de proxy implementada por otra parte de los resocks es SOCKS5. Actualmente no se conoce el vector de camino auténtico exacto empleado por el actor de amenaza.
El camino persistente a los puntos finales infectados se logra mediante una puerta trasera a medida convocatoria mucoragente, que secuestra los identificadores de clase (CLSID), identificadores únicos conjuntamente que identifican un objeto de clase COM, para dirigirse al dinamo de imágenes nativas (NGEN), un servicio de compilación previo del tiempo de tiempo que forma parte del situación .net.
«NGEN, un componente predeterminado de Windows .NET Framework que previa a los conjuntos de compila, proporciona un mecanismo de persistencia a través de una tarea programada para discapacitados», señaló Bitdefender. «Esta tarea parece inactiva, sin retención, el sistema activo ocasionalmente la permite y la ejecuta a intervalos impredecibles (como durante los tiempos de inactividad del sistema o las nuevas implementaciones de aplicaciones), lo que lo convierte en un excelente mecanismo para restaurar el camino de forma ajuste».
Abusando del CLSID vinculado a NGEN subrayan la destreza técnica del adversario, al tiempo que les otorga la capacidad de ejecutar comandos maliciosos en la cuenta del sistema en gran medida privilegiada. Se sospecha que probablemente existe un mecanismo más confiable para ejecutar la tarea específica dada la imprevisibilidad universal asociada con NGEN.
Un implante modular de .NET, Mucoragent se inicia a través de un proceso de tres etapas y es capaz de ejecutar un script PowerShell criptográfico y cargar la salida a un servidor designado. Bitdefender dijo que no recuperó ninguna otra carga útil de PowerShell.
«El diseño del mucoragente sugiere que probablemente tenía la intención de funcionar como una puerta trasera capaz de ejecutar cargas bártulos periódicas», explicó la compañía. «Cada carga útil encriptada se elimina a posteriori de cargarse en la memoria, y no se identificó ningún mecanismo adicional para entregar regularmente nuevas cargas bártulos».
Además armados por camaradas rizados hay sitios web legítimos pero compulsados para su uso como relés durante las comunicaciones C2 y la exfiltración de datos en un intento por demoler bajo el radar combinando el tráfico astuto con actividad de red corriente. Algunas de las otras herramientas observadas en los ataques se enumeran a continuación –
- Curlcat, que se utiliza para entregar la transferencia de datos bidireccionales entre las secuencias de entrada y salida unificado (STDIN y STDOUT) y el servidor C2 a través de HTTPS enrutando el tráfico a través de un sitio comprometido
- Rurat, un software legal de monitoreo y papeleo remota (RMM) para camino persistente
- Mimikatz, que se utiliza para extraer credenciales de la memoria
- Varios comandos incorporados como NetStat, TaskSist, SystemInfo, Ipconfig y Ping para realizar el descubrimiento
- Scripts de PowerShell que usan Curl para exfiltrar datos robados (por ejemplo, credenciales, información de dominio y datos de aplicaciones internas)
«La campaña analizada reveló un actor de amenaza en gran medida persistente y adaptable que emplea una amplia serie de técnicas conocidas y personalizadas para establecer y nutrir el camino a espacioso plazo en el interior de entornos específicos», dijo Bitdefender.
«Los atacantes se basaron en gran medida en herramientas disponibles públicamente, proyectos de código amplio y lolbins, mostrando una preferencia por el sigilo, la flexibilidad y la detección mínima en circunstancia de explotar vulnerabilidades novedosas».
