Một nhóm tin tặc mới với cái tên “Curly COMrades” (tạm dịch: Những đồng chí xoăn) đang nhắm mục tiêu vào các tổ chức ở Georgia và Moldova. Mục đích của chúng là thiết lập quyền truy cập lâu dài vào mạng của các nạn nhân để thực hiện các hoạt động gián điệp mạng.

Theo báo cáo từ Bitdefender, nhóm này đã nhiều lần cố gắng đánh cắp cơ sở dữ liệu NTDS từ các máy chủ kiểm soát tên miền (domain controllers). Đây là nơi lưu trữ thông tin xác thực và mật khẩu của người dùng trong mạng Windows. Thêm vào đó, chúng còn tìm cách trích xuất dữ liệu từ bộ nhớ LSASS để thu thập thông tin đăng nhập của người dùng đang hoạt động, bao gồm cả mật khẩu dưới dạng văn bản thuần.

Các cuộc tấn công này, được Bitdefender theo dõi từ giữa năm 2024, nhắm vào các cơ quan tư pháp và chính phủ ở Georgia, cũng như một công ty phân phối năng lượng ở Moldova.

Curly COMrades được cho là hoạt động vì các mục tiêu phù hợp với chiến lược địa chính trị của Nga. Cái tên “Curly COMrades” xuất phát từ việc chúng sử dụng nhiều công cụ curl để điều khiển từ xa (C2) và truyền dữ liệu, cũng như kỹ thuật chiếm quyền điều khiển các đối tượng mô hình thành phần (COM).

Mục tiêu cuối cùng của các cuộc tấn công này là thiết lập quyền truy cập lâu dài, thu thập thông tin tình báo, đánh cắp thông tin đăng nhập và sử dụng những thông tin này để xâm nhập sâu hơn vào mạng, thu thập dữ liệu bằng các công cụ tùy chỉnh và chuyển dữ liệu đánh cắp được đến cơ sở hạ tầng do kẻ tấn công kiểm soát.

Nhóm tin tặc này sử dụng các công cụ hợp pháp như Resocks, SSH và Stunnel để tạo nhiều đường dẫn vào mạng nội bộ và thực thi các lệnh từ xa bằng thông tin đăng nhập украденных. Một công cụ proxy khác được sử dụng là SOCKS5. Hiện tại, vẫn chưa rõ phương thức xâm nhập ban đầu mà nhóm này sử dụng.

Để duy trì quyền truy cập vào các máy tính bị nhiễm, Curly COMrades sử dụng một backdoor (cửa hậu) tùy chỉnh có tên là MucorAgent. Backdoor này chiếm quyền điều khiển các định danh lớp (CLSIDs) để nhắm mục tiêu vào Native Image Generator (Ngen), một dịch vụ biên dịch trước thời hạn (ahead-of-time compilation service) là một phần của .NET Framework.

Ngen cung cấp một cơ chế để duy trì quyền truy cập thông qua một tác vụ đã lên lịch bị vô hiệu hóa. Tác vụ này có vẻ không hoạt động, nhưng hệ điều hành đôi khi kích hoạt và thực thi nó vào những thời điểm không thể đoán trước, chẳng hạn như khi hệ thống ở trạng thái chờ hoặc khi triển khai ứng dụng mới, tạo ra một cơ chế tuyệt vời để khôi phục quyền truy cập một cách bí mật.

Việc lạm dụng CLSID liên kết với Ngen cho thấy trình độ kỹ thuật cao của đối thủ, đồng thời cho phép chúng thực thi các lệnh độc hại dưới tài khoản SYSTEM có đặc quyền cao.

MucorAgent được khởi chạy thông qua quy trình ba giai đoạn và có khả năng thực thi một tập lệnh PowerShell được mã hóa và tải kết quả lên một máy chủ được chỉ định. Bitdefender cho biết họ không tìm thấy bất kỳ payload PowerShell nào khác.

Ngoài ra, Curly COMrades còn sử dụng các trang web hợp pháp nhưng đã bị xâm nhập để làm điểm trung chuyển trong quá trình liên lạc với máy chủ điều khiển (C2) và trích xuất dữ liệu. Mục đích là để che giấu hoạt động độc hại bằng cách trộn lẫn lưu lượng truy cập độc hại với hoạt động mạng bình thường. Một số công cụ khác được sử dụng trong các cuộc tấn công này bao gồm:

• CurlCat: Được sử dụng để tạo điều kiện truyền dữ liệu hai chiều giữa các luồng đầu vào và đầu ra tiêu chuẩn (STDIN và STDOUT) và máy chủ C2 qua HTTPS bằng cách định tuyến lưu lượng truy cập thông qua một trang web bị xâm nhập.
• RuRat: Một chương trình Quản lý và Giám sát Từ xa (RMM) hợp pháp để truy cập liên tục.
• Mimikatz: Được sử dụng để trích xuất thông tin đăng nhập từ bộ nhớ.
• Các lệnh tích hợp khác nhau như netstat, tasklist, systeminfo, ipconfig và ping để thực hiện trinh sát.
• Các tập lệnh Powershell sử dụng curl để trích xuất dữ liệu bị đánh cắp (ví dụ: thông tin đăng nhập, thông tin tên miền và dữ liệu ứng dụng nội bộ).

Bitdefender kết luận: Chiến dịch cho thấy một nhóm tin tặc có khả năng thích ứng cao, sử dụng nhiều kỹ thuật quen thuộc và tùy chỉnh để thiết lập và duy trì quyền truy cập lâu dài vào các môi trường mục tiêu. Kẻ tấn công dựa nhiều vào các công cụ có sẵn công khai, các dự án mã nguồn mở và LOLBins, cho thấy sự ưu tiên về tính linh hoạt, tàng hình và giảm thiểu khả năng bị phát hiện hơn là khai thác các lỗ hổng mới.

Giải thích thuật ngữ:

• NTDS (New Technology Directory Services): Cơ sở dữ liệu lưu trữ thông tin quan trọng về người dùng, máy tính và các đối tượng khác trong một miền Windows.
• Domain Controller (Máy chủ kiểm soát tên miền): Máy chủ chịu trách nhiệm xác thực người dùng và quản lý bảo mật trong một mạng Windows.
• LSASS (Local Security Authority Subsystem Service): Một tiến trình trong hệ điều hành Windows chịu trách nhiệm quản lý chính sách bảo mật và xác thực người dùng.
• C2 (Command and Control): Cơ sở hạ tầng mà tin tặc sử dụng để điều khiển và chỉ đạo các máy tính bị nhiễm.
• COM (Component Object Model): Một kiến trúc phần mềm cho phép các ứng dụng và thành phần phần mềm giao tiếp với nhau.
• Resocks, SSH, Stunnel, SOCKS5: Các công cụ được sử dụng để tạo kết nối an toàn và ẩn danh trên mạng.
• Backdoor (Cửa hậu): Một phương pháp bí mật để vượt qua các biện pháp bảo mật thông thường và truy cập vào một hệ thống.
• CLSIDs (Class Identifiers): Mã định danh duy nhất được sử dụng để xác định các đối tượng COM.
• Ngen (Native Image Generator): Một công cụ trong .NET Framework được sử dụng để biên dịch mã thành mã máy trước khi thực thi.
• PowerShell: Một ngôn ngữ kịch bản mạnh mẽ được sử dụng để tự động hóa các tác vụ và quản lý hệ thống Windows.
• LOLBins (Living Off The Land Binaries): Các công cụ và chương trình hợp pháp của hệ điều hành có thể được tin tặc sử dụng cho mục đích xấu.