كشفت شركة Bitdefender عن نشاط مجموعة تهديد متقدمة غير موثقة سابقًا تُعرف باسم Curly COMrades، استهدفت كيانات في جورجيا ومولدوفا ضمن حملة تجسس سيبراني تهدف إلى الحفاظ على وصول طويل الأمد إلى شبكات الضحايا.
سرقة بيانات الاعتماد واستهداف البنية التحتية الحكومية
أوضحت الشركة أن المهاجمين حاولوا مرارًا استخراج قاعدة بيانات NTDS من وحدات التحكم بالمجال، وهي المستودع الأساسي لتجزئة كلمات المرور وبيانات المصادقة في بيئة ويندوز، إضافة إلى محاولات تفريغ ذاكرة LSASS لاستعادة بيانات اعتماد نشطة وكلمات مرور محتملة بنص واضح من الأجهزة التي يستخدمها الضحايا.
استهدفت الهجمات مؤسسات قضائية وحكومية في جورجيا، وشركة توزيع طاقة في مولدوفا، مع مؤشرات على أن النشاط بدأ منذ نوفمبر 2023 على الأقل، باستخدام برمجية خبيثة مخصصة تدعى MucorAgent.
أهداف مرتبطة بالاستراتيجية الجيوسياسية الروسية
تشير التحليلات إلى أن أهداف المجموعة تتماشى مع الاستراتيجية الجيوسياسية لروسيا، حيث تعتمد على أداة curl لنقل البيانات والتحكم، مع استغلال آلية COM Hijacking للسيطرة على مكونات النظام.
الهدف النهائي يتمثل في تنفيذ استطلاع شامل وسرقة بيانات الاعتماد، ثم التعمق داخل الشبكة باستخدام أدوات مخصصة لجمع البيانات وإرسالها إلى بنية تحت سيطرة المهاجمين.
تكتيكات التخفي والحفاظ على الوصول
اعتمدت المجموعة على أسلوب منهجي يجمع بين تقنيات هجومية قياسية وتطبيقات مخصصة للتخفي ضمن النشاط الشرعي للنظام، بما في ذلك استخدام أدوات شرعية مثل Resocks وSSH وStunnel لإنشاء قنوات متعددة للوصول عن بُعد، إضافة إلى بروكسي SOCKS5.
استغلال NGEN لتحقيق الاستمرارية
تستخدم MucorAgent أسلوب COM Hijacking عبر اختطاف معرفات الفئة CLSID لاستهداف مكون Ngen في إطار عمل .NET، وهو خدمة ترجمة مسبقة توفر آلية خفية للاستمرارية عبر مهمة مجدولة تبدو معطلة، لكن النظام يقوم بتنشيطها بشكل متقطع، مما يسمح بإعادة الوصول سرًا.
هذا الاستغلال يمنح المهاجمين القدرة على تنفيذ أوامر ضارة بحساب SYSTEM المتميز، ما يعكس مستوى تقنيًا متقدمًا.
خصائص MucorAgent وآلية العمل
البرمجية MucorAgent عبارة عن زرع خبيث Modular .NET Implant يعمل بثلاث مراحل، قادر على تنفيذ سكربت PowerShell مشفر ورفع النتائج إلى خادم مخصص، مع حذف الحمولة بعد تحميلها في الذاكرة لتقليل البصمة الرقمية.
البنية التحتية وأدوات المهاجمين
استخدمت المجموعة مواقع شرعية مخترقة كوسطاء للاتصال بخوادم التحكم ونقل البيانات، إضافة إلى:
-
CurlCat لنقل البيانات ثنائي الاتجاه عبر بروتوكول HTTPS مع تمريرها عبر موقع مخترق.
-
RuRat، وهو برنامج إدارة ومراقبة عن بُعد مشروع، للوصول المستمر.
-
Mimikatz لاستخراج بيانات الاعتماد من الذاكرة.
-
أوامر مدمجة مثل netstat وtasklist وsysteminfo وipconfig وping لاكتشاف البيئة.
-
سكربتات PowerShell تستخدم curl لتهريب البيانات المسروقة.
