Curly COMrades: Yeni Bir Siber Tehdit Aktörü
Son dönemde, siber güvenlik alanında şok edici bir gelişme yaşandı. “Curly COMrades” adı verilen daha önce belgelenmemiş bir tehdit aktörü, Gürcistan ve Moldova‘da faaliyet gösteren devlet kurumları ile önemli enerji altyapılarına siber saldırılar düzenliyor. Bu saldırılar, hedef ağlara uzun vadeli erişim sağlamak amacıyla gerçekleştirilen bir istihbarat kampanyası olarak değerlendirilmektedir.
Saldırının Amaçları ve Yöntemleri
Bitdefender’ın raporuna göre, Curly COMrades, özellikle Windows ağlarında kullanıcı şifre hash’lerinin ve kimlik doğrulama verilerinin yer aldığı NTDS veritabanını hedefliyor. Bu veritabanı, ağ üzerindeki tüm kullanıcı bilgilerini içerdiği için büyük bir değere sahip. Bunun yanı sıra, belirli sistemlerden LSASS bellek dökümü yapmaya çalışarak, aktif kullanıcı kimlik bilgilerini ve olası düz metin şifrelerini elde etme çabasında bulunuyorlar.
Hedeflerin arasında, Gürcistan’daki yargı ve hükümet kurumları ile Moldova’daki bir enerji dağıtım şirketi yer alıyor. Bu durum, Curly COMrades’in saldırılarının Rusya’nın jeopolitik stratejisiyle örtüştüğünü göstermektedir. Tehdit aktörünün ismi, veri transferi ve komut kontrolü için kullanılan curl aracına olan ağır bağımlılığından ve COM nesnelerinin kaçırılmasından kaynaklanır.
Uzun Süreli Erişim ve Gözetleme
Curly COMrades’in saldırılarının nihai amacı, uzaktan erişim sağlamak ve gözetleme yapmak olarak öne çıkmaktadır. Elde edilen veriler, ağda derinlemesine bilgi toplamak için kullanılıyor. Raporda belirtildiği üzere, saldırılar, standart saldırı teknikleri ile özel uygulamaların bir kombinasyonu ile gerçekleştirilmekte. Böylece, saldırganlar, sistem aktiviteleri içerisinde gizlenme fırsatı buluyor.
Ayrıca Resocks, SSH ve Stunnel gibi meşru araçlar kullanarak, iç ağlarda birden fazla bağlantı noktası oluşturuyorlar. Bu sayede, ele geçirilen kimlik bilgileri ile uzaktan komut çalıştırarak daha fazla bilgi toplayabiliyorlar. Bunun yanına, kullanılan bir diğer araç olan SOCKS5, ağda keşif yapmada fayda sağlıyor.
Curly COMrades’ın Kullandığı Araçlar
Curly COMrades, siber saldırılarını başarıyla gerçekleştirmek için bir dizi meşru ancak tehlikeli web sitesini de kullanıyor. Bu web siteleri, komut ve kontrol (C2) iletişimleri ile veri sızdırma işlemede araç görevi görüyor. Araştırmalar, bu grup tarafından kullanılan bazı önemli araçları da gün yüzüne çıkardı. Bunlar arasında:
- CurlCat: Veri transferini kolaylaştırmak amacıyla standart giriş ve çıkış akışları arasında iletişim kurar.
- RuRat: Kalıcı erişim sağlamak için kullanılan bir uzaktan izleme ve yönetim programıdır.
- Mimikatz: Bellekten kimlik bilgilerini çıkarmak için kullanılır.
- Çeşitli yerleşik komutlar: netstat, tasklist, systeminfo, ipconfig ve ping gibi komutlar, keşif yapmakta kullanılır.
Bu araçlar, saldırganların hedef sistemler içindeki varlıklarını sürdürebilmeleri için bir zemin oluşturur.
MucorAgent: Özel Geri Dönüş Kapısı
Curly COMrades’ın önemli bir özelliği, MucorAgent adı verilen özel bir geri dönüş kapısının kullanılmasıdır. Bu yazılım, COM sınıf nesnelerine yönelik bir ihlalle birlikte Native Image Generator (Ngen) üzerine odaklanmıştır. Ngen, .NET Framework’ün bir parçasıdır ve önceden derlenmiş bileşenler için kullanılmaktadır. Saldırganlar, bu bileşeni etkileyerek uzun vadeli gizli erişim sağlamayı hedefliyor.
MucorAgent, kullanıcıların sistem üzerindeki yönetim yetkilerini kötüye kullanarak, zararlı komutları yüksek yetkili SYSTEM hesabı altında çalıştırabilir. Bu, saldırganların sistem kaynaklarını etkin bir şekilde kullanabilmesi açısından oldukça kritik bir avantaj sağlamaktadır.
Gizlilik ve Dedikodular
Curly COMrades, siber saldırılarında gizliliği ön planda tutuyor. MucorAgent, yüklenen şifreli PowerShell komut dosyalarını çalıştırırken, her yeni komut dosyasını belleğe yükler ve hemen sonra bellekteki verileri siler. Bu, saldırganların izlerini temizleyerek daha az fark edilmelerini sağlıyor.
Sonuç olarak, Curly COMrades’in gerçekleştirdiği siber kampanya, büyük bir tehdit olarak dikkat çekmektedir. Kullanıcıların kimlik bilgilerini çalma, veri sızdırma ve gizli bilgilere erişim sağlama gibi hedefleriyle, bu tehdit aktörünün sürdürülebilir bir şekilde kurbanlarına sızmayı başardığı açıkça görülüyor. Bu durum, siber güvenlik alanında alınacak önlemlerin ne kadar önemli olduğunu gösteriyor.
