Curly COMrades APT
これまで記録に残っていなかったサイバー脅威グループ「Curly COMrades」が、ジョージアとモルドバの重要組織を標的にしていることが確認されました。この攻撃活動は、標的のネットワークへの長期的な侵入と情報収集を目的としているようです。同グループの活動は、ロシアの地政学的利益に沿った、計算され尽くした、執拗でステルス性の高いアプローチをとっていることを示しています。
目次
高価値ターゲットと早期活動
2024年半ば以降、このグループはジョージアの司法機関と政府機関、そしてモルドバのエネルギー供給会社を標的にしています。攻撃痕跡の分析により、この活動は当初考えられていたよりも早く開始されたことが判明しています。カスタムバックドア「MucorAgent」の使用が確認された最初の事例は2023年11月に遡りますが、活動自体はそれ以前から始まっていた可能性が高いです。
戦略目標と戦術
Curly COMradesの最終目的は、ネットワークアクセスを長期間維持し、偵察、認証情報の窃取、そしてより深いラテラルムーブメントを実現することです。彼らは標準的な攻撃手法とカスタム実装を組み合わせ、正規のシステム操作に紛れ込みます。彼らのキャンペーンの特徴は以下のとおりです。
- アクセスを改善するための試行錯誤の繰り返し
- 回復力を確保するための冗長な方法
- 検出を回避するための段階的なセットアップ手順
認証情報の盗難が根底にある
攻撃者は、パスワードハッシュと認証データを標的として、ドメインコントローラーからNTDSデータベースファイルの窃取を繰り返し試みました。また、特定のマシンからLSASSメモリをダンプし、プレーンテキストのパスワードを含むアクティブなユーザー認証情報の取得を試みていました。
ステルスのための合法ツールの悪用
Curly COMradesの活動の特徴は、信頼できるソフトウェアやサービスを利用して悪意のある活動を隠蔽することです。注目すべきツールには以下が含まれます。
Resocks、SOCKS5、SSH、および Stunnel – 内部ネットワークへの複数のアクセス トンネルを作成し、リモート コマンドの実行を可能にします。
正当だが侵害された Web サイト– 通常のネットワーク フローに溶け込み、C2 トラフィックとデータ窃盗の秘密の中継地点として機能します。
追加の武器化ユーティリティ:
- CurlCat – 侵害されたサイト経由でのHTTPS経由の双方向データ転送
- RuRat – 永続的な制御に使用される合法的なRMMツール
- Mimikatz – メモリからの認証情報収集
- 偵察のための一般的な Windows コマンド (netstat、tasklist、systeminfo、ipconfig、ping)
- ステルス的なデータ流出のための curl を使用した PowerShell スクリプト
MucorAgent: カスタム持続兵器
このキャンペーンの中心となるのは、MucorAgent です。これは、組み込みの .NET Framework コンポーネントである Native Image Generator (Ngen) にリンクされた COM クラス識別子 (CLSID) をハイジャックする特注の .NET バックドアです。
Ngenはアセンブリをプリコンパイルするように設計されていますが、隠れた永続化メカニズムとして機能する可能性があります。攻撃者は、Ngenに関連付けられた無効化されたスケジュールタスクを悪用します。このタスクは、アイドル時間中やアプリケーションの展開中に予期せず実行されることが時々あり、これにより、警告をトリガーすることなくシステムレベルのアクセスを復元できます。
MucorAgentインプラントは3段階で動作し、暗号化されたPowerShellスクリプトを実行し、その結果を攻撃者が管理するサーバーに送信します。ペイロードはメモリにロードされ、その後すぐに削除されるため、フォレンジック上の痕跡は最小限に抑えられます。
体系的、適応的、ステルスファースト
Curly COMradesは、目新しさよりもステルス性を重視し、ゼロデイ脆弱性を悪用するのではなく、公開ツール、オープンソースユーティリティ、LOLBinを活用しています。彼らの活動は、低ノイズの持続性と適応性を重視しており、一般的なツールとカスタマイズされたツールの両方を用いて、疑惑を招かずに長期的な制御を維持します。
