Bitdefender Labs, 2024’ten bu yana aktif olan ve jeopolitik olarak hassas bölgelerde kritik altyapıyı hedefleyen “Kıvırcık Yoldaşlar” olarak adlandırılan sofistike gelişmiş kalıcı tehdit (APT) grubu belirledi.
Bu Rus uyumlu aktör, Moldova’daki bir enerji dağıtım firmasının yanı sıra, uzun vadeli ağ erişimini sağlamak ve hassas verileri dışarı atmak için gizli taktikler kullanan Gürcistan’daki yargı ve devlet kuruluşlarına odaklanmıştır.
Grubun operasyonları, proxy röleleri gibi araçları ve algılamadan kaçınırken kalıcılığı korumak için Mucoragent adlı yeni bir arka kapı kullanarak kimlik gerçeği hırsızlığını vurgulamaktadır.
Bileşen nesne modelini (COM) ele geçirerek ve yerel görüntü jeneratör (NGEN) görevlerinden yararlanarak, sistem boşta kalma dönemlerinde veya uygulama dağıtımlarında gizli yeniden giriş sağlarlar.
Onların yaklaşımı, meşru araçları özel kötü amaçlı yazılım, komut ve kontrol (C2) trafiğini, iyi huylu ağ akışlarındaki etkinlikleri maskelemek için tehlikeye atılmış web siteleri aracılığıyla birleştirir.
Jeopolitik casusluk kampanyası
Kampanyanın teknik karmaşıklığı, Restocks, SSH, stunnel ile birleştirilmiş SSH ve özel çoraplar5 sunucuları gibi proxy araçlarının konuşlandırılmasında belirgindir.

Saldırganlar, yanal hareket ve veri toplama için impacket benzeri yardımcı programlar aracılığıyla uzaktan komutlar yürüterek çalınan kimlik bilgilerini kullanarak birden fazla giriş noktası oluştururlar.
Kimlik bilgisi hasat, Mimikatz, ProcDump ve Hile Dump gibi açık kaynak projelerinden uyarlanan özel yükleyiciler kullanarak Hacim Gölgesi Kopyalama Servisi manipülasyonları ve LSASS bellek dökümleri aracılığıyla NTDS veritabanını etki alanı denetleyicilerinden çıkarma girişimlerini içerir.
Eksfiltrasyon manuel ve düşük gürültüdür, RAR ile arşivlemeden önce kamu dizinlerinde verileri düzenlemek ve curl.exe üzerinden yüklenmeden, genellikle AES şifreleme ve PNG ambalajları olan görüntü dosyaları olarak gizlenmiş, tehlikeye atılmış röle.
Yenilikçi kalıcılık
Göze çarpan bir öğe, PNG’ler olarak maskelenen şifreli PowerShell komut dosyalarını, tespit edilmemiş, tespit edilmemiş, pespiltrating çıktıları yürütmek için antimal yazılım tarama arayüzünü (AMSI) yamalayan üç aşamalı bir .NET arka kapısı olan Mucoragent’dir.
Kalıcılık, sistemin aralıklı olarak aktive ettiği devre dışı NGen görevlerine bağlı CLSID’lerin kaçırılmasıyla elde edilir ve sistem ayrıcalıkları altında öngörülemeyen ancak güvenilir bir şekilde yürütülür.
Bu teknik, gereksiz vekiller ve uzak yardımcı programlar gibi meşru uzaktan yönetim araçları ile birleştiğinde, grubun uyarlanabilirliğinin altını çiziyor ve yayından kaldırmaya karşı dayanıklılığa odaklanıyor.
Rapora göre, “Kıvırcık Yoldaşlar” adlandırma, hem teknik ayırt edici özellikleri C2 için Curl.exe’nin kapsamlı kullanımını ve com kaçırma ve siber tehditleri kötüleştirmek için kasıtlı bir çaba yansıtıyor ve göz alıcı monikerlerin endüstri trendlerine karşı koyuyor.
RAR kullanımı veya PowerShell otomasyonu gibi bilinen aktörlerle örtüşmeler mevcut olsa da, Bitdefender bunu Rus jeopolitik çıkarlarını destekleyen farklı bir varlığa bağlar.
Kuruluşlardan anomali tespiti için genişletilmiş algılama ve yanıt (XDR) çözümleri kullanmaları, lolbinleri izlemeleri ve operasyonel boşlukları köprülemek için yönetilen algılama hizmetlerini dikkate almaları istenir.
Bu kampanya, karma taktiklerin sürekli casusluk için meşru altyapıya olan güvenini kullandığı gelişen tehdit manzarasını vurgulamaktadır.
Uzlaşma Göstergeleri (IOCS)
Kategori | Örnekler |
---|---|
Proxy sunucuları | 75.127.13.136, 96.30.124.103 |
Dosya Yolları | C: \ ProgramData \ drm.exe, C: \ ProgramData \ rar.bat |
Planlanan görevler | \ Microsoft \ windows \ updateRchestrator \ check_ac |
Windows Hizmetleri | Msedgesvc, oraclejavasvc |
AWS Security Services: 10-Point Executive Checklist - Download for Free