تستهدف مجموعة Curly COMrades الجديدة كيانات في جورجيا ومولدوفا، مما يسلط الضوء على تهديدات التجسس السيبراني المتزايدة في المنطقة.
الهجمات السيبرانية الجديدة من مجموعة “Curly COMrades” باستخدام اختراق NGEN COM في جورجيا ومولدوفا
تم رصد مجموعة جديدة من المهاجمين تُدعى Curly COMrades تستهدف كيانات في جورجيا ومولدوفا كجزء من حملة تجسس سيبراني تهدف إلى تسهيل الوصول طويل الأمد إلى الشبكات المستهدفة.
“لقد حاولوا مرارًا استخراج قاعدة بيانات NTDS من وحدات التحكم في المجال – وهي المستودع الرئيسي لرموز كلمات مرور المستخدمين وبيانات المصادقة في شبكة ويندوز،” حسبما أفادت شركة Bitdefender في تقريرها الذي تم مشاركته مع The Hacker News. “بالإضافة إلى ذلك، حاولوا تفريغ ذاكرة LSASS من أنظمة محددة لاستعادة بيانات اعتماد المستخدم النشطة، بما في ذلك كلمات المرور النصية العادية، من الأجهزة التي كان المستخدمون قد سجلوا الدخول إليها.”
تتبع الشركة الرومانية للأمن السيبراني هذه الأنشطة منذ منتصف عام 2024، وقد استهدفت بشكل خاص الهيئات القضائية والحكومية في جورجيا، بالإضافة إلى شركة توزيع الطاقة في مولدوفا.
تاريخ الحملة
“بالنسبة للجدول الزمني، بينما كنا نتتبع الحملة منذ منتصف عام 2024، فإن تحليلنا للآثار يشير إلى أن النشاط بدأ في وقت سابق،” قال مارتن زوغك، مدير الحلول التقنية في Bitdefender، للمنشور. “أقدم تاريخ مؤكد لدينا لاستخدام برمجية MucorAgent هو نوفمبر 2023، على الرغم من أنه من المحتمل جدًا أن المجموعة كانت نشطة قبل ذلك.”
تُعتبر مجموعة Curly COMrades تعمل بأهداف تتماشى مع الاستراتيجية الجيوسياسية الروسية. سُميت المجموعة بهذا الاسم بسبب اعتمادها الكبير على أداة curl لعمليات التحكم في الأوامر (C2) ونقل البيانات، وكذلك اختراق مكونات كائنات COM.
أهداف الهجمات
الهدف النهائي من الهجمات هو تمكين الوصول طويل الأمد لإجراء الاستطلاع وسرقة بيانات الاعتماد، واستغلال تلك المعلومات للتعمق أكثر في الشبكة، وجمع البيانات باستخدام أدوات مخصصة، وتسريبها إلى بنية تحتية تحت سيطرة المهاجمين.
“تشير السلوكيات العامة إلى نهج منهجي حيث دمج المهاجمون تقنيات الهجوم القياسية مع تنفيذات مخصصة للاندماج في أنشطة النظام الشرعية،” أشارت الشركة. “تميزت عملياتهم بتكرار التجربة والخطأ، واستخدام أساليب زائدة، وخطوات إعداد تدريجية – كل ذلك بهدف الحفاظ على موطئ قدم مرن ومنخفض الضجيج عبر أنظمة متعددة.”
الأدوات المستخدمة
جانب ملحوظ من الهجمات هو استخدام أدوات شرعية مثل Resocks وSSH وStunnel لإنشاء قنوات متعددة إلى الشبكات الداخلية وتنفيذ الأوامر عن بُعد باستخدام بيانات الاعتماد المسروقة. أداة بروكسي أخرى تم نشرها بجانب Resocks هي SOCKS5. حاليًا، لا يُعرف بالضبط كيف تم الوصول الأولي من قبل المهاجم.
يتم تحقيق الوصول المستمر إلى النقاط المصابة من خلال استخدام باب خلفي مخصص يسمى MucorAgent، الذي يخطف معرفات الفئة (CLSIDs) – وهي معرفات فريدة عالميًا تحدد كائن فئة COM – لاستهداف مولد الصورة الأصلية (Ngen)، وهي خدمة تجميع مسبق جزء من إطار عمل .NET.
“Ngen، وهو مكون افتراضي في إطار عمل .NET، يوفر آلية للاستمرارية عبر مهمة مجدولة معطلة،” لاحظت Bitdefender. “تبدو هذه المهمة غير نشطة، ولكن نظام التشغيل يقوم أحيانًا بتمكينها وتنفيذها في فترات غير متوقعة (مثل خلال أوقات الخمول أو نشر تطبيقات جديدة)، مما يجعلها آلية رائعة لاستعادة الوصول بشكل سري.”
التقنيات المستخدمة
تسليط الضوء على استخدام CLSID المرتبطة بـ Ngen يُبرز براعة الخصم التقنية، بينما يمنحهم القدرة على تنفيذ أوامر خبيثة تحت حساب SYSTEM المتميز. يُشتبه في أن هناك آلية أكثر موثوقية لتنفيذ المهمة المحددة نظرًا للافتقار إلى التنبؤ المرتبط بـ Ngen.
يتم إطلاق MucorAgent، وهو زراعة .NET قابلة للتعديل، من خلال عملية من ثلاث مراحل وقادرة على تنفيذ نص PowerShell مشفر وتحميل الناتج إلى خادم محدد. قالت Bitdefender إنها لم تستعد أي حمولات PowerShell أخرى.
“تصميم MucorAgent يشير إلى أنه كان من المحتمل أن يُقصد به العمل كباب خلفي قادر على تنفيذ الحمولات بشكل دوري،” أوضحت الشركة. “يتم حذف كل حمولة مشفرة بعد تحميلها في الذاكرة، ولم يتم تحديد أي آلية إضافية لتسليم حمولات جديدة بانتظام.”
كما استخدمت مجموعة Curly COMrades مواقع شرعية ولكن مُخترقة لتكون بمثابة وسطاء خلال اتصالات C2 وتسريب البيانات في محاولة للاندماج تحت الرادار من خلال مزج حركة المرور الخبيثة مع النشاط الشبكي العادي. بعض الأدوات الأخرى التي تم رصدها في الهجمات مدرجة أدناه:
- CurlCat، الذي يُستخدم لتسهيل نقل البيانات ثنائي الاتجاه بين تدفقات الإدخال والإخراج القياسية (STDIN وSTDOUT) وخادم C2 عبر HTTPS عن طريق توجيه الحركة عبر موقع مخترق.
- RuRat، وهو برنامج شرعي للمراقبة والإدارة عن بُعد (RMM) للحصول على وصول مستمر.
- Mimikatz، الذي يُستخدم لاستخراج بيانات الاعتماد من الذاكرة.
- أوامر مدمجة متنوعة مثل netstat وtasklist وsysteminfo وipconfig وping لإجراء الاستكشاف.
- نصوص PowerShell التي تستخدم curl لتسريب البيانات المسروقة (مثل بيانات الاعتماد، ومعلومات المجال، وبيانات التطبيقات الداخلية).
“الحملة التي تم تحليلها كشفت عن مهاجم شديد الاستمرارية وقابل للتكيف يستخدم مجموعة واسعة من التقنيات المعروفة والمخصصة لإنشاء والحفاظ على وصول طويل الأمد داخل البيئات المستهدفة،” قالت Bitdefender.
“اعتمد المهاجمون بشكل كبير على الأدوات المتاحة للجمهور، ومشاريع المصدر المفتوح، وLOLBins، مما يظهر تفضيلًا للسرية والمرونة وقلة الكشف بدلاً من استغلال الثغرات الجديدة.”
تستمر مجموعة Curly COMrades في استخدام تقنيات متقدمة لتحقيق أهدافها، مما يستدعي اليقظة المستمرة من قبل المؤسسات المستهدفة.
