Un groupe nouvellement identifié a lancé des attaques contre des organisations clés en Géorgie et en Moldavie à l’aide d’un programme de porte dérobée personnalisé qui détourne un outil d’optimisation Microsoft .NET pour la persistance.
Les chercheurs ont observé de nouvelles campagnes de cyberespionnage contre des organisations clés de la Moldavie et de la Géorgie de l’UE-Hopefuls en utilisant un programme de porte dérobée et de nouvelles techniques de persistance. En l’absence de preuves pour lier cette activité à des groupes APT connus, les chercheurs ont attribué les campagnes à un nouveau groupe baptisé Curly Camarades, qui semble servir les intérêts de la Fédération de Russie.
«Leurs indicateurs techniques comportent fortement l’utilisation de curl.exe Pour les communications C2 et l’exfiltration des données, et un aspect important de leur outillage implique le détournement d’objets du modèle d’objets composants (COM) », les chercheurs de l’entreprise antivirus Bitdefender ont expliqué dans leur rapport.« En choisissant un nom comme «camarades bouclés», «nous visons à dégringir la cybercriminalité, en déshabillant toute perception de sophistication ou de mystique. Ce ne sont pas des «ours fantaisistes» ou des «araignées de sorciers»; Ce sont simplement des acteurs malveillants engagés dans des comportements perturbateurs et nocifs. »
L’activité du groupe, qui remonte à la fin 2024, a jusqu’à présent ciblé les organismes judiciaires et gouvernementaux en Géorgie et une société de distribution d’énergie en Moldavie. Les deux pays sont d’anciens membres de l’Union soviétique qui ont officiellement un statut de «candidat» pour rejoindre l’Union européenne, ce qui est contraire aux intérêts de la Russie.
Utilisation intensive des relais proxy et des tunnels de sauvegarde
Une fois qu’ils ont compromis un réseau, Curly Camarades Attaques a mis en place plusieurs tunnels proxy inversés aux relais qu’ils contrôlent. Ceux-ci sont utilisés pour exécuter des commandes sur les systèmes à l’aide d’identification volées dans le but de collecter et d’exfiltration de données internes.
Le groupe a été vu à plusieurs reprises en essayant d’extraire la base de données NTDS à partir de contrôleurs de domaine ou de vider la mémoire de processus LSASS sur les systèmes clés. Les deux emplacements sont utilisés pour stocker les informations d’identification des fenêtres. Les attaquants récoltent également les données du navigateur, qui peuvent également inclure des informations d’identification et des cookies de session.
« Une autre tactique importante observée dans cette campagne est l’utilisation stratégique de sites Web compromis et légitimes comme relais de circulation, une tactique qui complique considérablement la détection et l’attribution », ont observé les chercheurs. «Cette approche leur permet de mélanger un trafic malveillant avec une activité de réseau normale, ce qui rend plus difficile pour les outils de sécurité de signaler leurs communications.»
Les outils proxy couramment observés incluent Resocks, un tunnel proxy open source, ainsi qu’un serveur SOCKS5 basé sur un projet open source de GitHub. Les attaquants se sont également appuyés sur SSH combinés à Stunnel pour le transfert de port et le cryptage du trafic TCP.
Les chercheurs de Bitdefender ont également observé l’utilisation d’un outil personnalisé qui se comporte comme cat Utilité qui facilite le transfert de données bidirectionnel. Cet outil a été surnommé Curlcat et a été retrouvé déployé sur les systèmes comme GoogleUpdate.exe.
Outils de porte dérobée personnalisée et RMM
Dans les attaques ciblant une organisation, les chercheurs ont observé le déploiement d’une porte dérobée personnalisée, qu’ils ont surnommé Mucoragent, sur plusieurs systèmes. Cet outil de logiciel malveillant est écrit en .NET et est conçu pour exécuter les scripts PowerShell cryptés AES, puis télécharger la sortie sur un serveur contrôlé par les attaquants.
« Bien qu’aucune charge utile PowerShell n’ait été récupérée, la conception du malware suggère que son exécution était destinée à se produire périodiquement – très probablement à des fins de collecte et d’exfiltration de données », ont écrit les chercheurs.
Plus important encore, MucorAgent exécute le code PowerShell via le System.Management.Automation Espace de noms sans invoquer le processus PowerShell.exe, ce qui rend la détection moins probable. Il utilise également un mécanisme de persistance inhabituel qui implique le détournement d’une tâche planifiée obscure.
Le malware s’insère dans le gestionnaire CLSID et COM {de434264-8fe9-4c0b-a83b-89ebeebff78e}qui correspond à une tâche planifiée Windows nommée «.NET Framework ngen v4.0.30319 critique». Cette tâche est généralement désactivée par défaut, mais le système le permet périodiquement car il correspond à un outil Microsoft appelé NGEN (générateur d’image natif) qui optimise les applications .NET lorsqu’ils sont installés ou mis à jour.
« En détournant ce CLSID, les acteurs de la menace acquièrent un mécanisme de persistance unique, leur permettant de restaurer leur porte dérobée mucoragante lors de l’un de ces analyses d’optimisation périodiques », ont révélé les chercheurs. «Un avantage essentiel de cette méthode est la furtivité et l’exécution sous le compte système très privilégié. Cette technique particulière, tirant parti de détournement CLSID en conjonction avec NGEN, est sans précédent dans nos observations.»
En plus de Mucoragent, les attaquants ont également déployé un outil légitime de surveillance et de gestion à distance (RMM) appelés utilitaires distants. L’abus des outils RMM s’est répandu parmi les groupes APT et cybercriminaux.
« La campagne analysée a révélé un acteur de menace très persistant et adaptable utilisant un large éventail de techniques connues et personnalisées pour établir et maintenir un accès à long terme dans des environnements ciblés », ont déclaré les chercheurs. «Les attaquants se sont fortement appuyés sur des outils accessibles au public, des projets open source et des lolbins, montrant une préférence pour la furtivité, la flexibilité et la détection minimale plutôt que d’exploiter de nouvelles vulnérabilités.»
Une liste d’indicateurs de compromis et de TTP est incluse dans le rapport de Bitdefender et peut être utilisée pour créer des règles de détection pour la chasse aux menaces. Bien que ces attaques aient été observées en Moldavie et en Géorgie, les groupes russes sont connus pour cibler tous les pays qui soutiennent l’Ukraine.
