Un nuevo grupo de actores de amenaza sofisticado denominado “camaradas rizados” se ha convertido en una importante preocupación de ciberseguridad, realizando campañas de espionaje específicas contra organizaciones críticas en países que experimentan cambios geopolíticos sustanciales.
El grupo ha estado buscando activamente el acceso a la red a largo plazo y las operaciones de robo de credenciales desde mediados de 2014, con un enfoque particular en los organismos judiciales y gubernamentales en Georgia, así como a las empresas de distribución de energía en Moldavia.
Las operaciones del actor de amenaza representan un enfoque metódico del ciber espionaje, caracterizado por su gran dependencia de las herramientas proxy y el uso estratégico de sitios web legítimos comprometidos como relés de tráfico.
Esta táctica complica significativamente los esfuerzos de detección al combinar las comunicaciones maliciosas con la actividad de la red normal, lo que les permite evitar las defensas de seguridad que generalmente confían en los dominios conocidos mientras oscurecen su verdadera infraestructura.
Analistas de Bitdefender identificado El objetivo principal del grupo como mantenimiento del acceso persistente a las redes de destino al tiempo que cosecha sistemáticamente las credenciales válidas.
Los atacantes intentaron extraer repetidamente la base de datos NTDS de los controladores de dominio, que sirve como el repositorio principal para los datos de hash y autenticación de contraseña de usuario en las redes de Windows.
Además, se centraron en descargar la memoria LSASS de sistemas específicos para recuperar las credenciales activas de los usuarios, incluidas las contraseñas de texto potencialmente sencillo de las máquinas donde los usuarios permanecieron conectados.
La convención de nombres “camaradas rizadas” refleja tanto las metodologías técnicas del grupo como un intento deliberado de desglamorizar el delito cibernético.
RESOCKS actúa como un punto de retransmisión en una red comprometida. En este caso, la red A representa un atacante, y la red B representa una víctima (fuente – bitdefender)
La designación proviene de su uso extenso de curl.exe para comunicaciones de comando y control y exfiltración de datos, combinada con su sofisticada explotación de objetos del modelo de objetos componentes (COM) para mecanismos de persistencia.
El aspecto más sofisticado técnicamente del arsenal de los camaradas rizados implica su despliegue de Mucoragent, un malware de tres etapas previamente desconocido que emplea un mecanismo de persistencia innovador a través del secuestro de CLSID.
Este enfoque se dirige al Generador de imágenes nativo (NGEN), un componente predeterminado de Windows .NET Framework que pre-compila los ensamblados para mejorar el rendimiento.
El malware establece la persistencia al secuestrar el controlador COM con ClSID {DE434264-8FE9-4C0B-A83B-89EBEBFF78E}, que está asociado con la tarea programada “.NET Framework NGEN V4.0.30319 Critical”.
Si bien esta tarea permanece deshabilitada de forma predeterminada, el sistema operativo de Windows la habilita y la ejecuta periódicamente durante intervalos impredecibles, como los tiempos de inactividad del sistema o las nuevas implementaciones de aplicaciones.
Reg ADD HKEY_USERS \\ Software \ classes \ Clsid \ {DE434264-8FE9-4C0B-A83B-89EBEBFF78E} \ INPROCSERVER32 /T REG_SZ /D “C: \ Windows \ System32 \ Mscoree.dll” /f reg. HKEY_USERS \\ Software \ Classes \ ClSid \ {DE434264-8FE9-4C0B-A83B-89EBEBFF78E} \ INPROCSERVER32 /V ensamblaje /t reg_sz /d “tasklauncher, versión = 1.0.0.0, cultivo = neutral, public sencillo = null” /f ”
Esta técnica proporciona varias ventajas para los atacantes, incluida la ejecución de sigilo bajo la cuenta del sistema altamente privilegiada y la restauración de acceso encubierto durante los procesos legítimos de optimización del sistema.
La imprevisibilidad de los tiempos de ejecución de tareas NGEN sugiere que los atacantes probablemente emplearon desencadenantes paralelos y más confiables para garantizar un acceso constante a los sistemas comprometidos.
Este enfoque innovador para el secuestro de COM en conjunto con NGEN representa un mecanismo de persistencia sin precedentes que demuestra la comprensión sofisticada del grupo de Windows Internals y su compromiso de mantener el acceso a la red a largo plazo.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
