Un actor de amenaza previamente indocumentado denominado Camaradas rizados Se ha observado entidades dirigidas a Georgia y Moldavia como parte de una campaña de ciber espionaje diseñada para facilitar el acceso a largo plazo a las redes objetivo.
«Repetidamente intentaron extraer la base de datos NTDS de los controladores de dominio, el repositorio principal para los datos de hashs y autenticación de contraseña de usuario en una red de Windows», dijo Bitdefender en un informe compartido con Hacker News. «Además, intentaron descargar la memoria LSASS de sistemas específicos para recuperar las credenciales activas de los usuarios, contraseñas potencialmente de texto sencillo, de máquinas donde los usuarios se iniciaron sesión».
La actividad, rastreada por la compañía rumana de ciberseguridad desde mediados de 2014, ha señalado organismos judiciales y gubernamentales en Georgia, así como una compañía de distribución de energía en Moldavia.
«Con respecto a la línea de tiempo, mientras hemos estado rastreando la campaña desde mediados de 2014, nuestro análisis de los artefactos indica que la actividad comenzó antes», dijo Martin Zugec, director de soluciones técnicas de Bitdefender, a la publicación. «La fecha más temprana confirmada que tenemos para el uso del malware mucoragente es noviembre de 2023, aunque es muy probable que el grupo haya estado activo antes de ese momento».
Se evalúa que los camaradas rizados operan con objetivos que están alineados con la estrategia geopolítica de Rusia. Obtiene su nombre de la gran dependencia de la utilidad de curl para el comando y el control (C2) y la transferencia de datos, y el secuestro de los objetos del modelo de objeto componente (COM).
El objetivo final de los ataques es permitir el acceso a largo plazo para llevar a cabo el robo de reconocimiento y credenciales, y aprovechar esa información para enterrar más profundamente en la red, recopilar datos utilizando herramientas personalizadas y exfiltrarse a la infraestructura controlada por los atacantes.
«El comportamiento general indica un enfoque metódico en el que los atacantes combinaron técnicas de ataque estándar con implementaciones personalizadas para combinarse con una actividad legítima del sistema», señaló la compañía. «Sus operaciones se caracterizaron por repetidos prueba y error, el uso de métodos redundantes y los pasos de configuración incrementales, todos destinados a mantener un punto de apoyo resistente y de bajo ruido en múltiples sistemas».
Un aspecto notable de los ataques es el uso de herramientas legítimas como resrocas, SSH y Stunnel para crear múltiples conductos en redes internas y ejecutar comandos de forma remota utilizando las credenciales robadas. Otra herramienta de proxy implementada además de los resocks es SOCKS5. Actualmente no se conoce el vector de acceso inicial exacto empleado por el actor de amenaza.
El acceso persistente a los puntos finales infectados se logra mediante una puerta trasera a medida llamada mucoragente, que secuestra los identificadores de clase (CLSID), identificadores únicos globalmente que identifican un objeto de clase COM, para dirigirse al generador de imágenes nativas (NGEN), un servicio de compilación previo del tiempo de tiempo que forma parte del marco .net.
«NGEN, un componente predeterminado de Windows .NET Framework que previa a los conjuntos de compila, proporciona un mecanismo de persistencia a través de una tarea programada para discapacitados», señaló Bitdefender. «Esta tarea parece inactiva, sin embargo, el sistema operativo ocasionalmente la permite y la ejecuta a intervalos impredecibles (como durante los tiempos de inactividad del sistema o las nuevas implementaciones de aplicaciones), lo que lo convierte en un excelente mecanismo para restaurar el acceso de manera encubierta».
Abusando del CLSID vinculado a NGEN subrayan la destreza técnica del adversario, al tiempo que les otorga la capacidad de ejecutar comandos maliciosos en la cuenta del sistema altamente privilegiada. Se sospecha que probablemente existe un mecanismo más confiable para ejecutar la tarea específica dada la imprevisibilidad general asociada con NGEN.
Un implante modular de .NET, Mucoragent se inicia a través de un proceso de tres etapas y es capaz de ejecutar un script PowerShell cifrado y cargar la salida a un servidor designado. Bitdefender dijo que no recuperó ninguna otra carga útil de PowerShell.
«El diseño del mucoragente sugiere que probablemente tenía la intención de funcionar como una puerta trasera capaz de ejecutar cargas útiles periódicas», explicó la compañía. «Cada carga útil encriptada se elimina después de cargarse en la memoria, y no se identificó ningún mecanismo adicional para entregar regularmente nuevas cargas útiles».
También armados por camaradas rizados hay sitios web legítimos pero compulsados para su uso como relés durante las comunicaciones C2 y la exfiltración de datos en un intento por volar bajo el radar combinando el tráfico malicioso con actividad de red normal. Algunas de las otras herramientas observadas en los ataques se enumeran a continuación –
- Curlcat, que se utiliza para facilitar la transferencia de datos bidireccionales entre las secuencias de entrada y salida estándar (STDIN y STDOUT) y el servidor C2 a través de HTTPS enrutando el tráfico a través de un sitio comprometido
- Rurat, un programa legítimo de monitoreo y gestión remota (RMM) para acceso persistente
- Mimikatz, que se utiliza para extraer credenciales de la memoria
- Varios comandos incorporados como NetStat, TaskSist, SystemInfo, Ipconfig y Ping para realizar el descubrimiento
- Scripts de PowerShell que usan Curl para exfiltrar datos robados (por ejemplo, credenciales, información de dominio y datos de aplicaciones internas)
«La campaña analizada reveló un actor de amenaza altamente persistente y adaptable que emplea una amplia gama de técnicas conocidas y personalizadas para establecer y mantener el acceso a largo plazo dentro de entornos específicos», dijo Bitdefender.
«Los atacantes se basaron en gran medida en herramientas disponibles públicamente, proyectos de código abierto y lolbins, mostrando una preferencia por el sigilo, la flexibilidad y la detección mínima en lugar de explotar vulnerabilidades novedosas».
