هجمات Curly COMrades: تجسس سيبراني في جورجيا ومولدوفا

الهجمات السيبرانية من قبل مجموعة “Curly COMrades”

تم رصد مجموعة تهديد غير موثقة تُدعى Curly COMrades تستهدف كيانات في جورجيا ومولدوفا كجزء من حملة تجسس سيبراني تهدف إلى تسهيل الوصول طويل الأمد إلى الشبكات المستهدفة.

أساليب الهجوم

“لقد حاولوا مرارًا استخراج قاعدة بيانات NTDS من وحدات التحكم في النطاق، وهي المستودع الرئيسي لبيانات مصادقة المستخدمين وكلمات المرور في شبكة ويندوز،” وفقًا لتقرير شركة Bitdefender الذي تم مشاركته مع The Hacker News. “بالإضافة إلى ذلك، حاولوا تفريغ ذاكرة LSASS من أنظمة معينة لاسترداد بيانات اعتماد المستخدم النشطة، بما في ذلك كلمات المرور النصية الواضحة، من الآلات التي تم تسجيل دخول المستخدمين عليها.”

تم تتبع النشاط من قبل الشركة الرومانية للأمن السيبراني منذ منتصف عام 2024، وقد استهدفت الحملة بشكل خاص الهيئات القضائية والحكومية في جورجيا، بالإضافة إلى شركة توزيع الطاقة في مولدوفا.

الأهداف الجيوسياسية

تُعتبر مجموعة Curly COMrades تعمل بأهداف تتماشى مع الاستراتيجية الجيوسياسية لروسيا. تم تسميتها بهذا الاسم بسبب اعتمادها الكبير على أداة curl في التحكم بالأوامر ونقل البيانات، وكذلك اختطاف مكونات كائنات COM.

الهدف النهائي من الهجمات هو تمكين الوصول طويل الأمد لإجراء الاستطلاع وسرقة بيانات الاعتماد، واستغلال تلك المعلومات للتعمق أكثر في الشبكة، وجمع البيانات باستخدام أدوات مخصصة، ونقلها إلى بنية تحتية يتحكم بها المهاجمون.

تقنيات الهجوم

“تشير السلوكيات العامة إلى نهج منهجي حيث دمج المهاجمون تقنيات الهجوم القياسية مع تطبيقات مخصصة للتكيف مع النشاط النظامي الشرعي،” كما أشارت الشركة. “تميزت عملياتهم بتكرار المحاولات، واستخدام أساليب زائدة، وخطوات إعداد تدريجية – جميعها تهدف إلى الحفاظ على موطئ قدم مرن ومنخفض الضوضاء عبر أنظمة متعددة.”

تتضمن الهجمات استخدام أدوات شرعية مثل Resocks وSSH وStunnel لإنشاء قنوات متعددة إلى الشبكات الداخلية وتنفيذ الأوامر عن بُعد باستخدام بيانات الاعتماد المسروقة. ومن بين أدوات البروكسي الأخرى المستخدمة بجانب Resocks هي SOCKS5. لا يُعرف حاليًا كيف تم الوصول الأولي من قبل المهاجم.

البرمجيات الخبيثة

يتم تحقيق الوصول المستمر إلى النقاط المصابة من خلال باب خلفي مخصص يُدعى MucorAgent، الذي يخطف معرفات الفئة (CLSIDs) – وهي معرفات فريدة عالميًا تُحدد كائن فئة COM – لاستهداف مولد الصور الأصلية (Ngen)، وهو خدمة تجميع مسبقًا جزء من إطار عمل .NET.

"Ngen، وهو مكون افتراضي في إطار عمل Windows .NET الذي يسبق تجميع التجميعات، يوفر آلية للاستمرارية عبر مهمة مجدولة معطلة،" لاحظت Bitdefender. "تبدو هذه المهمة غير نشطة، ومع ذلك، يقوم نظام التشغيل بتفعيلها وتنفيذها في أوقات غير متوقعة (مثل خلال أوقات الخمول أو نشر تطبيقات جديدة)، مما يجعلها آلية رائعة لاستعادة الوصول بشكل سري."

أدوات أخرى مستخدمة

أيضًا تم استخدام مواقع شرعية ولكن تم اختراقها كوسائل لتواصل C2 ونقل البيانات في محاولة للاختباء تحت الرادار من خلال دمج حركة المرور الخبيثة مع النشاط الشبكي العادي. تشمل بعض الأدوات الأخرى التي تم ملاحظتها في الهجمات ما يلي:

• CurlCat، الذي يُستخدم لتسهيل نقل البيانات ثنائي الاتجاه بين تدفقات الإدخال والإخراج القياسية (STDIN وSTDOUT) وخادم C2 عبر HTTPS عن طريق توجيه الحركة من خلال موقع مخترق
• RuRat، برنامج مراقبة وإدارة عن بُعد شرعي للوصول المستمر
• Mimikatz، الذي يُستخدم لاستخراج بيانات الاعتماد من الذاكرة
• أوامر مدمجة متنوعة مثل netstat وtasklist وsysteminfo وipconfig وping لإجراء الاستطلاع
• برامج نصية PowerShell تستخدم curl لنقل البيانات المسروقة (مثل بيانات الاعتماد، معلومات النطاق، وبيانات التطبيقات الداخلية)

“كشفت الحملة التي تم تحليلها عن ممثل تهديد مرن وقابل للتكيف يستخدم مجموعة واسعة من التقنيات المعروفة والمخصصة لتأسيس والحفاظ على الوصول طويل الأمد ضمن البيئات المستهدفة،” قالت Bitdefender.

“اعتمد المهاجمون بشكل كبير على أدوات متاحة للجمهور، ومشاريع مفتوحة المصدر، وLOLBins، مما يظهر تفضيلهم للسرية والمرونة والحد الأدنى من الكشف بدلاً من استغلال ثغرات جديدة.”