Curly COMrades: Yeni Siber Casusluk Tehditi
Son zamanlarda, siber güvenlik alanında önemli bir gelişme yaşandı. Curly COMrades adı verilen yeni bir siber casusluk tehdit grubu, bilgisayar sistemlerine sızmak için gelişmiş bir backdoor zararlısı kullanıyor. Bu zararlı yazılım, görünüşte pasif bir zamanlanmış görev aracılığıyla sürekli erişim sağlıyor. Bu operasyonların, özellikle Gürcistan’daki hükümet ve yargı organlarını, Moldova’daki enerji firmalarını hedef alarak Rus çıkarlarını desteklediği belirtiliyor.
MucorAgent: Üç Aşamalı Zararlı Yazılım
Siber güvenlik şirketi Bitdefender tarafından yayınlanan bir raporda, MucorAgent’ın karmaşık yapısıyla ilgili detaylar veriliyor. MucorAgent, .NET ile geliştirilmiş ve AES şifreli PowerShell komut dosyalarını çalıştırabilen bir yazılım olarak tanımlanıyor. Elde edilen çıktıların belirlenen sunuculara yüklenmesi, bu zararlının ne kadar tehlikeli olduğunu gözler önüne seriyor.
Araştırmacılar, Curly COMrades tehdit grubunu, curl.exe aracının veri dışa aktarımdaki yoğun kullanımı nedeniyle bu isimle anıyorlar. Ayrıca, saldırı sırasında Component Object Model (COM) nesnelerinin ele geçirilmesi de bu ismin gerekçelerinden biri.
İlk Erişim Vektörü ve Proksi Sunucular
Araştırmalar, saldırganların ilk erişim vektörünü tespit edemediklerini belirtirken, iç sistemlerde birden fazla proksi ajanı kurulduğunu gözlemlediler. Bu ajanlardan biri olan Resocks, curl.exe aracılığıyla yüklenerek zamanlanmış görevler veya Windows servisleri olarak kayıtlı kalıyor. Bağlantıların TCP 443 veya 8443 üzerinden C2 sunucusuna ulaşması sağlanıyor.
Saldırganlar ayrıca, SOCKS5 sunucuları ve SSH + Stunnel gibi özelleştirilmiş araçlar kullanarak, uzaktan yönlendirme işlemleri gerçekleştiriyor. Bazı SSH bağlantıları ise daha karmaşık bir yapı olan CurlCat aracıyla yönlendiriliyor. Bu araç, trafik gizliliği sağlamak için libcurl kütüphanesini ve özelleştirilmiş Base64 alfabesini kullanıyor.
Süreklilik Mekanizması ve Sistem Erişimi
Bitdefender’ın ortaya koyduğu bu tür bir devamlılık mekanizması, CLSIDs‘nin ele geçirilmesiyle elde ediliyor. NGEN (Native Image Generator), Windows’un varsayılan .NET bileşeni olup, dinamik derlemeleri önceden derleyerek süreklilik sağlayabiliyor. Araştırmacılar, bu tür bir görev, sistemin rastgele aralıklarla, örneğin yeni bir uygulama yüklenirken veya sistem boşta iken çalıştırılabileceğini belirtiyorlar.
Buna ek olarak, saldırganların, etkileşimsel kontrol elde etmek amacıyla meşru Remote Utilities (RuRat) uzaktan izleme yazılımını kullandıkları da rapor ediliyor. Ayrıca, klasik Remote Monitoring and Management (RMM) araçları ile sistemlerin yönetimi sağlanıyor.
MucorAgent’ın Gizli Yapısı
MucorAgent, toplam üç parçadan oluşan bir arka kapıdır. Bu parçalar, meşru bir COM işleyicisini ele geçirerek Windows’taki Antimalware Scan Interface (AMSI) bypass eden bir bileşeni yükleyebilir. Üçüncü yük, belirli konumlarda index.png ve icon.png dosyalarını arayarak, tehlikeli verileri içeren şifreli veri bloklarını (muhtemelen komut dosyası) ele geçiriyor.
Bitdefender’a göre, bu tehdit aktörü, ağda dolaşmayı sağlamak amacıyla geçerli kimlik bilgilerini toplamakla kalmayıp, ayrıca ağ üzerindeki hedeflerine saldırarak NTDS veritabanını çıkartmaya çalışıyor. Bunun yanında, LSASS bellek dökümünü de belirli sistemlerden çekmek için girişimlerde bulunuyor.
Gözlemlenen Davranışlar ve Network İzleme
Elde edilen bulgular, bu tehdit grubunun yalnızca bir casusluk kampanyasının parçası olmadığını, aynı zamanda hedeflerine erişimlerini sürdürmek için büyük çaba harcadıklarını gösteriyor. Living-off-the-land (LOLbins) komutları ve açık kaynaklı araçlar kullanarak, normal trafiğe karışmayı başarmış olsalar da, zararlı hareketleri yeterince gürültü çıkararak modern EDR/XDR sensörleri tarafından tespit ediliyor.
Elde edilen bu bilgiler, siber güvenlik alanında yeni tehditlerin gelişimi konusunda önemli ipuçları sunuyor. Curly COMrades gibi grupların faaliyetleri, sürekli olarak evrilen siber savaşın nasıl bir hal aldığını göstermektedir. Bu tür tehditlere karşı sürekli bir hazırlık ve farkındalık sağlamak, hem bireyler hem de kurumlar için büyük bir öneme sahiptir.
