Curly COMrades APT
Un groupe de cybermenaces, jusqu'alors inconnu, baptisé Curly COMrades, a été observé ciblant des entités de premier plan en Géorgie et en Moldavie. Cette campagne semble axée sur l'infiltration à long terme et la collecte de renseignements au sein de réseaux ciblés. Les activités du groupe révèlent une approche calculée, persistante et furtive, alignée sur les intérêts géopolitiques de la Russie.
Table des matières
Cibles de grande valeur et activité précoce
Depuis mi-2024, le groupe cible des organismes judiciaires et gouvernementaux en Géorgie, ainsi qu'une entreprise de distribution d'énergie en Moldavie. L'analyse des artefacts de l'attaque montre que l'opération a débuté plus tôt qu'on ne le pensait initialement. La première utilisation confirmée de leur porte dérobée personnalisée, MucorAgent, remonte à novembre 2023, bien que l'activité ait probablement débuté avant cette date.
Objectifs stratégiques et tactiques
L'objectif final des Curly COMrades est un accès prolongé au réseau, permettant la reconnaissance, le vol d'identifiants et des déplacements latéraux plus profonds. Ils combinent des techniques d'attaque standard avec des implémentations personnalisées pour se fondre dans les opérations système légitimes. Leur campagne est marquée par :
- Essais et erreurs répétés pour affiner l'accès
- Méthodes redondantes pour assurer la résilience
- Étapes de configuration incrémentielles pour éviter la détection
Le vol d'identifiants au cœur du problème
Les attaquants ont tenté à plusieurs reprises d'exfiltrer les fichiers de la base de données NTDS des contrôleurs de domaine, ciblant les hachages de mots de passe et les données d'authentification. Ils ont également tenté de vider la mémoire LSASS de certaines machines afin de récupérer les identifiants des utilisateurs actifs, y compris d'éventuels mots de passe en clair.
Abus d'outils légitimes à des fins de furtivité
L'une des caractéristiques des opérations de Curly COMrades est l'utilisation de logiciels et de services fiables pour masquer les activités malveillantes. Parmi les outils les plus remarquables, on peut citer :
Resocks, SOCKS5, SSH et Stunnel – création de plusieurs tunnels d’accès aux réseaux internes et activation de l’exécution de commandes à distance.
Sites Web légitimes mais compromis – agissant comme des relais secrets pour le trafic C2 et l’exfiltration de données, se mélangeant aux flux réseau normaux.
Utilitaires militarisés supplémentaires :
- CurlCat – transfert bidirectionnel de données via HTTPS via des sites compromis
MucorAgent : une arme de persistance personnalisée
Au cœur de la campagne se trouve MucorAgent, une porte dérobée .NET sur mesure qui détourne les identifiants de classe COM (CLSID) liés au générateur d'images natives (Ngen), un composant .NET Framework intégré.
Bien que conçu pour précompiler les assemblages, Ngen peut servir de mécanisme de persistance dissimulé. Les attaquants exploitent une tâche planifiée désactivée liée à Ngen, qui se déclenche parfois de manière imprévisible, lors des périodes d'inactivité ou des déploiements d'applications, leur permettant de restaurer l'accès au niveau SYSTÈME sans déclencher d'alarme.
L'implant MucorAgent fonctionne en trois étapes : il exécute des scripts PowerShell chiffrés et envoie les résultats à des serveurs contrôlés par l'attaquant. Les charges utiles sont chargées en mémoire et supprimées immédiatement après, laissant ainsi des traces minimes.
Méthodique, adaptatif et furtif
Les Curly COMrades privilégient la discrétion à la nouveauté, s'appuyant sur des outils publics, des utilitaires open source et des LOLBins plutôt que sur l'exploitation de vulnérabilités zero-day. Leurs opérations privilégient la persistance et l'adaptabilité à faible bruit, utilisant des outils courants et personnalisés pour maintenir un contrôle à long terme sans éveiller les soupçons.
