Curly COMrades APT

翻译为：

一个名为“Curly COMrades”的网络威胁组织此前未被记录在案，目前已被观察到针对格鲁吉亚和摩尔多瓦的知名实体展开攻击。此次攻击活动似乎旨在对目标网络进行长期渗透和情报收集。该组织的活动展现出一种精心策划、持续进行且隐秘的策略，与俄罗斯的地缘政治利益相符。

自2024年中期以来，该组织一直将目标锁定在格鲁吉亚的司法和政府机构以及摩尔多瓦的一家能源配送公司。对攻击痕迹的分析表明，此次行动的开始时间比最初预想的要早，其自定义后门MucorAgent最早被确认的使用时间可追溯到2023年11月，但其活动很可能在此之前就已开始。

Curly COMrades 的最终目标是延长网络访问时间，从而实现侦察、凭证窃取和更深入的横向移动。他们将标准攻击技术与自定义实现相结合，以融入合法的系统操作。他们的活动特点如下：

攻击者反复尝试从域控制器窃取 NTDS 数据库文件，目标是密码哈希值和身份验证数据。他们还尝试从选定的机器中转储 LSASS 内存，旨在恢复活动用户凭据，包括可能的明文密码。

Curly COMrades 运营的一大特点是使用值得信赖的软件和服务来掩盖恶意活动。值得注意的工具包括：

Resocks、SOCKS5、SSH 和 Stunnel——创建通往内部网络的多个访问隧道并支持远程命令执行。

合法但已遭入侵的网站——充当 C2 流量和数据泄露的隐蔽中继，与正常网络流混合。

额外的武器化工具：

RuRat – 用于持续控制的合法 RMM 工具

Mimikatz——从内存中获取凭证

用于侦察的常见 Windows 命令（netstat、tasklist、systeminfo、ipconfig、ping）

使用 curl 进行隐秘数据泄露的 PowerShell 脚本

该活动的核心是 MucorAgent，这是一个定制的 .NET 后门，它劫持了链接到本机图像生成器 (Ngen)（一个内置的 .NET Framework 组件）的 COM 类标识符 (CLSID)。

Ngen 虽然旨在预编译程序集，但却可以充当隐蔽的持久性机制。攻击者利用与 Ngen 绑定的已禁用计划任务（该任务有时会在空闲时间或应用程序部署期间意外触发），从而在不触发警报的情况下恢复 SYSTEM 级访问权限。

MucorAgent 植入程序的运行分为三个阶段：执行加密的 PowerShell 脚本，并将结果发送到攻击者控制的服务器。有效载荷被加载到内存中，之后立即删除，几乎不留下任何取证痕迹。

Curly COMrades 更倾向于隐秘而非新奇，他们更依赖公共工具、开源实用程序和 LOLBins，而非利用零日漏洞。他们的行动强调低噪音持久性和适应性，使用通用工具和定制工具来保持长期控制而不引起怀疑。

搜索