Curly COMrades APT

翻譯為：

一個名為「Curly COMrades」的網路威脅組織先前未被記錄在案，目前已被觀察到針對格魯吉亞和摩爾多瓦的知名實體展開攻擊。此次攻擊活動似乎旨在對目標網路進行長期滲透和情報收集。該組織的活動展現出一種精心策劃、持續且隱密的策略，與俄羅斯的地緣政治利益相符。

自2024年中期以來，該組織一直將目標鎖定在格魯吉亞的司法和政府機構以及摩爾多瓦的一家能源配送公司。對攻擊痕跡的分析表明，此行動的開始時間比最初預想的要早，其自訂後門MucorAgent最早被確認的使用時間可追溯到2023年11月，但其活動很可能在此之前就已開始。

Curly COMrades 的最終目標是延長網路存取時間，從而實現偵察、憑證竊取和更深入的橫向移動。他們將標準攻擊技術與自訂實作相結合，以融入合法的系統操作。他們的活動特徵如下：

攻擊者反覆嘗試從網域控制器竊取 NTDS 資料庫文件，目標是密碼雜湊值和身份驗證資料。他們還嘗試從選定的機器中轉儲 LSASS 內存，旨在恢復活動用戶憑證，包括可能的明文密碼。

Curly COMrades 營運的一大特點是使用值得信賴的軟體和服務來掩蓋惡意活動。值得注意的工具包括：

Resocks、SOCKS5、SSH 和 Stunnel——創建通往內部網路的多個存取隧道並支援遠端命令執行。

合法但已遭入侵的網站—充當 C2 流量和資料外洩的隱藏中繼，與正常網路流混合。

額外的武器化工具：

RuRat – 用於持續控制的合法 RMM 工具

Mimikatz－從記憶體中取得憑證

用於偵察的常見 Windows 指令（netstat、tasklist、systeminfo、ipconfig、ping）

使用 curl 進行隱密資料外洩的 PowerShell 腳本

活動的核心是 MucorAgent，這是一個客製化的 .NET 後門，它劫持了連結到本機映像產生器 (Ngen)（內建的 .NET Framework 元件）的 COM 類別識別碼 (CLSID)。

Ngen 雖然旨在預編譯程序集，但卻可以充當隱蔽的持久性機制。攻擊者利用與 Ngen 綁定的已停用計劃任務（該任務有時會在空閒時間或應用程式部署期間意外觸發），從而在不觸發警報的情況下恢復 SYSTEM 級存取權限。

MucorAgent 植入程式的運作分為三個階段：執行加密的 PowerShell 腳本，並將結果傳送到攻擊者控制的伺服器。有效載荷被載入到記憶體中，之後立即刪除，幾乎不留下任何取證痕跡。

Curly COMrades 更傾向於隱密而非新奇，他們更依賴公共工具、開源實用程式和 LOLBins，而非利用零時差漏洞。他們的行動強調低噪音持久性和適應性，使用通用工具和定制工具來保持長期控製而不引起懷疑。

搜索