Daha önce belgelenmemiş bir tehdit oyuncusu Kıvırcık yoldaşlar hedef ağlara uzun vadeli erişimi kolaylaştırmak için tasarlanmış bir siber casusluk kampanyasının bir parçası olarak Gürcistan ve Moldova’daki varlıkları hedefleyen varlıklar gözlemlenmiştir.
Bitdefender, Hacker News ile paylaşılan bir raporda, “NTDS veritabanını tekrar tekrar etki alanı denetleyicilerinden çıkarmaya çalıştılar – kullanıcı şifresi karmalar için birincil depo ve bir Windows ağındaki kimlik doğrulama verileri.” Dedi. “Ayrıca, kullanıcıların oturum açtığı makinelerden aktif kullanıcı kimlik bilgilerini, potansiyel olarak düz metin şifrelerini kurtarmak için LSASS belleğini belirli sistemlerden dökmeye çalıştılar.”
Romanya Siber Güvenlik Şirketi tarafından 2014’ten beri izlenen etkinlik, Gürcistan’daki yargı ve hükümet organlarının yanı sıra Moldova’daki bir enerji dağıtım şirketi seçti.
Bitdefender Teknik Çözümler Direktörü Martin Zugec, “Zaman çizelgesine ilişkin olarak, 2014’ün ortalarından bu yana kampanyayı izlerken, eserler analizimiz etkinliğin daha önce başladığını gösteriyor.” “Mukoragent kötü amaçlı yazılım kullanımı için sahip olduğumuz en eski tarih Kasım 2023’tür, ancak grubun o zamandan önce aktif olması oldukça muhtemeldir.”
Kıvırcık yoldaşların Rusya’nın jeopolitik stratejisi ile uyumlu hedeflerle faaliyet gösterdiği değerlendiriliyor. Adını komut ve kontrol (C2) ve veri aktarımı için CURL yardımcı programına ve bileşen nesne modeli (COM) nesnelerinin kaçırılmasına ağır güveniyor.
Saldırıların nihai amacı, keşif ve kimlik bilgisi hırsızlığı gerçekleştirmek için uzun vadeli erişim sağlamak ve bu bilgileri ağa derinlemesine gömmek, özel araçlar kullanarak veri toplamak ve saldırgan kontrollü altyapıya eksfiltrat yapmaktır.
Şirket, “Genel davranış, saldırganların standart saldırı tekniklerini meşru sistem etkinliğine karışmak için özel uygulamalarla birleştirdikleri metodik bir yaklaşımı göstermektedir.” “Operasyonları, tekrarlanan deneme yanılma, gereksiz yöntemlerin kullanımı ve artımlı kurulum adımları-hepsi birden fazla sistemde esnek ve düşük gürültülü bir dayanak sürdürmeyi amaçlayan artımlı kurulum adımları ile karakterize edildi.”
Saldırıların dikkate değer bir yönü, dahili ağlara birden fazla kanal oluşturmak ve çalınan kimlik bilgilerini kullanarak komutları uzaktan yürütmek için Restocks, SSH ve stunnel gibi meşru araçların kullanılmasıdır. Restocks dışında dağıtılan bir başka proxy aracı SOCKS5’tir. Tehdit oyuncusu tarafından kullanılan tam başlangıç erişim vektörü şu anda bilinmemektedir.
Enfekte son noktalara kalıcı erişim, .Net çerçevesinin bir parçası olan bir önde derleme hizmeti olan yerel görüntü jeneratörünü (NGEN) hedeflemek için sınıf tanımlayıcılarını (CLSID’ler)-küresel olarak benzersiz bir tanımlayıcılardan (CLSID’ler) kaçıran ısmarlama bir arka kapı vasıtasıyla gerçekleştirilir.
Bitdefender, “Montajları önceden oluşturan varsayılan Windows .NET Framework bileşeni olan NGEN, engelli planlanmış bir görev aracılığıyla kalıcılık için bir mekanizma sağlıyor.” “Bu görev etkin görünür, ancak işletim sistemi zaman zaman öngörülemeyen aralıklarla (sistem boşta kalma süreleri veya yeni uygulama dağıtımları gibi) etkinleştirir ve yürütür ve bu da erişimi gizlice geri yüklemek için harika bir mekanizma sağlar.”
NGEN ile bağlantılı CLSID’nin kötüye kullanılması, düşmanlığın teknik yeteneklerinin altını çizerken, onlara son derece ayrıcalıklı sistem hesabı altında kötü amaçlı komutlar yürütme yeteneği verir. NGEN ile ilişkili genel öngörülemezlik göz önüne alındığında, belirli görevi yürütmek için daha güvenilir bir mekanizma olduğundan şüpheleniliyor.
Modüler bir .NET implantı olan mukoragent, üç aşamalı bir işlemle başlatılır ve şifreli bir PowerShell komut dosyasını yürütebilir ve çıktıyı belirlenen bir sunucuya yükleyebilir. Bitdefender, başka herhangi bir PowerShell yükünü kurtarmadığını söyledi.
Şirket, “Mukoragentin tasarımı, muhtemelen yükleri periyodik olarak uygulayabilen bir arka kapı olarak işlev görmeyi amaçladığını gösteriyor.” “Şifreli her yük, belleğe yüklendikten sonra silinir ve düzenli olarak yeni yükler teslim etmek için ek bir mekanizma tanımlanmamıştır.”
Ayrıca kıvırcık yoldaşlar tarafından silahlandırılan, kötü amaçlı trafiği normal ağ etkinliği ile harmanlayarak radar altında uçmak için C2 iletişim ve veri pessiltrasyonu sırasında röleler olarak kullanılmak üzere meşru ama işbirliği yapan web siteleridir. Saldırılarda gözlemlenen diğer araçlardan bazıları aşağıda listelenmiştir –
- Standart giriş ve çıkış akışları (STDIN ve STDOUT) ve C2 Sunucusu arasında iki yönlü veri aktarımını kolaylaştırmak için kullanılan CURLCAT
- Rurat, kalıcı erişim için meşru bir uzaktan izleme ve yönetim (RMM) programı
- Bellekten kimlik bilgilerini çıkarmak için kullanılan Mimikatz
- Netstat, Görev Listesi, SystemInfo, Ipconfig ve Ping gibi çeşitli yerleşik komutlar keşif yapmak için
- Çalıntı verileri dışarı atmak için curl kullanan PowerShell komut dosyaları (örn., Kimlik bilgileri, etki alanı bilgileri ve dahili uygulama verileri)
Bitdefender, “Analiz edilen kampanya, hedeflenen ortamlarda uzun vadeli erişimi oluşturmak ve sürdürmek için çok çeşitli bilinen ve özelleştirilmiş teknikler kullanan oldukça kalıcı ve uyarlanabilir bir tehdit oyuncusu ortaya çıkardı.” Dedi.
“Saldırganlar, yeni güvenlik açıklarından yararlanmak yerine gizli, esneklik ve minimal algılama tercihini gösteren halka açık araçlara, açık kaynak projelerine ve lolbinlere büyük ölçüde güveniyorlardı.”