当前位置：网站首页 > 技术文章 > 正文

“Curly COMrades”APT黑客攻击多个国家的关键组织

haoteby 2025-09-13 00:10 7 浏览

Bitdefender Labs 发现一个名为“Curly COMrades”的复杂高级持续性威胁 (APT) 组织，该组织自 2024 年中期开始活跃，目标是地缘政治敏感地区的关键基础设施。

这个与俄罗斯有关的黑客组织将目标锁定在格鲁吉亚的司法和政府实体以及摩尔多瓦的一家能源分销公司，采用隐秘手段来获取长期网络访问权并窃取敏感数据。

该组织的行动强调凭证盗窃，利用代理中继等工具和名为 MucorAgent 的新后门来保持持久性，同时逃避检测。

通过劫持组件对象模型 (COM) 对象并利用本机映像生成器 (NGEN) 任务，它们确保在系统空闲期间或应用程序部署期间秘密重新进入。

他们的方法将合法工具与自定义恶意软件相结合，通过受感染的网站路由命令和控制 (C2) 流量，以掩盖良性网络流中的活动。

该活动的技术复杂性体现在部署代理工具（如 Resocks、SSH 与 Stunnel 结合以及自定义 SOCKS5 服务器）上，这些工具通常使用 Garble 等工具进行混淆以阻碍逆向工程。

攻击者使用窃取的凭证建立多个入口点，通过类似 Impacket 的实用程序执行远程命令进行横向移动和数据收集。

凭证收集涉及反复尝试通过卷影复制服务操作和 LSASS 内存转储从域控制器中提取 NTDS 数据库，使用 Mimikatz、Procdump 的变体以及改编自 TrickDump 等开源项目的自定义加载器。

黑客将收集的敏感数据暂存在公共目录中，然后用 RAR 进行存档，并通过 curl.exe 上传到中继服务器，通常伪装成带有 AES 加密和 PNG 包装器的图像文件。

一个突出的元素是 MucorAgent，这是一个三阶段 .NET 后门，它修补反恶意软件扫描接口 (AMSI) 以执行未被发现的加密 PowerShell 脚本，泄露伪装成 PNG 的输出。

持久性是通过劫持链接到禁用的 NGEN 任务的 CLSID 来实现的，系统会偶尔激活这些任务，从而在 SYSTEM 权限下提供不可预测但可靠的执行。

这种技术与冗余代理和合法的远程管理工具（如远程实用程序）相结合，凸显了该组织的适应性和对抗攻击的韧性。

虽然与已知威胁组织存在重叠，例如 RAR 使用或 PowerShell 自动化，但 Bitdefender 仍将其归因于与俄罗斯有关的地缘政治利益实体。

技术报告：

https://businessinsights.bitdefender.com/curly-comrades-new-threat-actor-targeting-geopolitical-hotbeds

黑客攻防

相关推荐