Anteriormente llamados actores de amenaza indocumentados, se ha observado que los camaradas rizados se dirigen a las entidades de Georgia y Moldavan como parte de una campaña cibernética diseñada para promover el acceso a largo plazo a las redes específicas.
«Intentaron repetidamente extraer la base de datos NTDS del controlador de dominio. Este es el depósito principal de los datos de hash y autenticación de contraseña de usuario en las redes de Windows», dijo Bitdefender en un informe compartido con Hacker News. «Además, intentaron descargar la memoria LSASS de un sistema en particular y recuperar las credenciales activas de los usuarios, potencialmente contraseñas de texto sin formato, de la máquina en el que se registra el usuario».
Las actividades rastreadas por las compañías de ciberseguridad rumana desde mediados de 2014 han elegido a las agencias judiciales y gubernamentales de Georgia, así como a las compañías de distribución de energía de Moldavia.
La camarada Carly está calificada como operando con objetivos consistentes con la estrategia geopolítica de Rusia. Obtiene el nombre del comando y el control (C2) y la gran dependencia de la utilidad de curl para la transferencia de datos, y secuestro de objetos del modelo de objetos componentes (COM).
El objetivo final de un ataque es permitir el acceso a largo plazo para realizar el reconocimiento y el robo de calificaciones, profundizar en la red y usar esa información para recopilar datos utilizando herramientas personalizadas y extenderlo a la infraestructura controlada por los atacantes.
«El comportamiento general ilustra un enfoque sistemático que combina técnicas de ataque estándar con implementaciones adaptadas para combinarse con la actividad legítima del sistema», señaló la compañía. «Estas operaciones se caracterizaron por prueba y error repetidos, el uso de métodos redundantes y los procedimientos de configuración progresivos, todos destinados a mantener un andamio resistente y bajo ruido en múltiples sistemas».
Un aspecto notable del ataque es que utiliza herramientas legítimas como RESOCKS, SSH y Stunnel para crear múltiples conductos en la red interna y ejecutar comandos de forma remota utilizando las credenciales robadas. Otra herramienta proxy que se implementa fuera de los resocks es SOCKS5. Actualmente se desconoce el vector de acceso inicial exacto empleado por los actores de amenaza.
El acceso persistente a los puntos finales infectados se logra a través de una puerta trasera a medida llamada Mucoragent. Esto secuestra el identificador de clase (CLSID) a nivel mundial que identifica el objeto de clase COM.
«NGEN, el componente predeterminado de Windows .NET Framework que precompila el ensamblaje, proporciona un mecanismo de persistencia a través de tareas programadas no válidas», dijo Bitdefender. «Esta tarea puede parecer inactiva, pero el sistema operativo puede habilitarla y ejecutarla de vez en cuando a intervalos impredecibles (como los tiempos de inactividad del sistema y la implementación de nuevas aplicaciones), lo que lo convierte en un gran mecanismo para restaurar secretamente el acceso».
El abuso de un CLSID vinculado a NGEN destaca las capacidades técnicas del enemigo y reconoce la capacidad de ejecutar comandos maliciosos en cuentas del sistema altamente privilegiadas. Dada la imprevisibilidad general asociada con NGEN, se sospecha que existe un mecanismo más confiable para realizar una tarea particular.
Mucoragent, un implante modular de .NET, se inicia a través de un proceso de tres etapas y puede ejecutar scripts de PowerShell cifrados y cargar la salida a un servidor especificado. Bitdefender dijo que no recuperaría ninguna otra carga útil de PowerShell.
«El diseño de Mukoraja sugiere que probablemente tenga la intención de servir como un trasero que permite que las cargas se ejecuten regularmente», explicó la compañía. «Cada carga útil cifrada se eliminó después de cargarse en la memoria, y no se identificó un mecanismo adicional para entregar nuevas cargas útiles periódicamente».
También armado por los camaradas de Curly es un sitio web para su uso como relé durante la eliminación de datos para volar bajo el radar, legal pero no exclusivamente para su uso como relé durante las comunicaciones C2, al combinar el tráfico malicioso y la actividad de la red normal. Algunas de las otras herramientas observadas en el ataque se enumeran a continuación –
Curlcat se utiliza para facilitar la transferencia de datos bidireccionales entre los servidores de entrada y salida estándar (STDIN y STDOUT) y C2. Enrutamiento del sitio Rurat que comprometió el tráfico a través de HTTPS. Script Discovery PowerShell que elimina los datos robados (credenciales, información de dominio, datos internos de la aplicación) utilizando Curl para realizar un ping
«Las campañas analizadas revelaron actores de amenaza altamente sostenibles y adaptables que emplean una amplia gama de tecnologías conocidas y personalizadas para establecer y mantener el acceso a largo plazo dentro del entorno objetivo», dijo Bitdefender.
«Los atacantes dependen en gran medida de las herramientas disponibles públicamente, los proyectos de código abierto y Lolbins, lo que indica que prefieren sigilo, flexibilidad y detección mínima en lugar de explotar nuevas vulnerabilidades».
Source link
