“Kıvırcık Yoldaşlar” olarak adlandırılan sofistike yeni bir tehdit oyuncusu grubu, önemli bir siber güvenlik kaygısı olarak ortaya çıktı ve önemli jeopolitik değişimler yaşayan ülkelerde kritik organizasyonlara karşı hedeflenen casusluk kampanyaları yürüttü.
Grup, Gürcistan’daki yargı ve hükümet organlarına ve Moldova’daki enerji dağıtım şirketlerine odaklanarak, 2014’ün ortalarından beri uzun vadeli ağ erişimini ve kimlik bilgisi hırsızlık operasyonlarını aktif olarak sürdürmektedir.
Tehdit oyuncusu operasyonları, vekalet araçlarına karşı ağır güvenleri ve tehlikeye atılan meşru web sitelerinin trafik röleleri olarak stratejik kullanımı ile karakterize edilen siber casusluk için metodik bir yaklaşımı temsil etmektedir.
Bu taktik, kötü niyetli iletişimleri normal ağ etkinliği ile harmanlayarak tespit çabalarını önemli ölçüde karmaşıklaştırır ve gerçek altyapılarını gizlerken bilinen alanlara güvenen güvenlik savunmalarını atlamalarına izin verir.
Bitdefender analistleri, grubun birincil hedefini, geçerli kimlik bilgilerini sistematik olarak toplarken hedef ağlara kalıcı erişimi korumak olarak tanımladılar.
Saldırganlar, Windows ağlarındaki kullanıcı şifresi karmalar ve kimlik doğrulama verileri için birincil depo olarak hizmet veren Domain denetleyicilerinden NTDS veritabanını defalarca çıkarmaya çalıştılar.
Ayrıca, kullanıcıların oturum açtığı makinelerden potansiyel olarak düz metin şifreleri de dahil olmak üzere etkin kullanıcı kimlik bilgilerini kurtarmak için LSASS belleğini belirli sistemlerden dökmeye odaklandılar.
Adlandırma sözleşmesi “Kıvırcık Yoldaşlar” hem grubun teknik metodolojilerini hem de siber suçları göz kamaştırmaya yönelik kasıtlı bir girişimi yansıtmaktadır.
.webp)
Atama, komut ve kontrol iletişimi ve veri açığa çıkması için curl.exe’nin kapsamlı kullanımlarından kaynaklanmaktadır, kalıcılık mekanizmaları için bileşen nesne modeli (COM) nesnelerinin sofistike sömürülmesi ile birlikte.
Kıvırcık yoldaşların arsenalinin teknik olarak en sofistike yönü, CLSID kaçırma yoluyla yenilikçi bir kalıcılık mekanizması kullanan daha önce bilinmeyen üç aşamalı bir kötü amaçlı yazılım olan Mucoragent’in konuşlandırılmasını içerir.
Bu yaklaşım, gelişmiş performans için düzenlemeleri önceden oluşturan varsayılan Windows .NET çerçevesi bileşeni olan yerel görüntü üreticisini (NGEN) hedefler.
Kötü amaçlı yazılım, COM işleyicisini CLSID {DE434264-8FE9-4C0B-A83B-89EBEEBFF78E} ile ele geçirerek kalıcılık oluşturur, bu da “.NET Framework NGEN V4.0.30319 kritik” planlanmış görevle ilişkilidir.
Bu görev varsayılan olarak devre dışı kalırken, Windows işletim sistemi, sistem boşta kalma süreleri veya yeni uygulama dağıtımları gibi öngörülemeyen aralıklarla periyodik olarak bunu etkinleştirir ve yürütür.
reg add HKEY_USERS\\SOFTWARE\Classes\CLSID\{de434264-8fe9-4c0b-a83b-89ebeebff78e}\InprocServer32 /t REG_SZ /d "C:\Windows\System32\mscoree.dll" /F
reg add HKEY_USERS\\SOFTWARE\Classes\CLSID\{de434264-8fe9-4c0b-a83b-89ebeebff78e}\InprocServer32 /v Assembly /t REG_SZ /d "TaskLauncher, Version=1.0.0.0, Culture=neutral, PublicKeyToken=null" /F Bu teknik, son derece ayrıcalıklı sistem hesabı altında gizli yürütme ve meşru sistem optimizasyon süreçleri sırasında gizli erişim restorasyonu da dahil olmak üzere saldırganlar için çeşitli avantajlar sağlar.
NGEN görev yürütme sürelerinin öngörülemezliği, saldırganların tehlikeye atılan sistemlere tutarlı erişim sağlamak için muhtemelen paralel, daha güvenilir tetikleyiciler kullandığını göstermektedir.
NGEN ile birlikte COM kaçırmaya yönelik bu yenilikçi yaklaşım, grubun pencere iç kısımları hakkındaki sofistike anlayışını ve uzun vadeli ağ erişimini sürdürme taahhüdünü gösteren eşi görülmemiş bir kalıcılık mekanizmasını temsil etmektedir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.