2025年8月12日Ravie Lakshmananサイバースパイ活動 / Windowsセキュリティ
Curly COMradesと名付けられた、これまで文書化されていなかった脅威アクターが、標的ネットワークへの長期的なアクセスを可能にするサイバースパイ活動の一環として、ジョージアとモルドバの組織を標的にしていることが確認されました。
「彼らは何度もドメインコントローラーからNTDSデータベースを抽出しようと試みました。これはWindowsネットワークにおけるユーザーパスワードハッシュや認証データの主要な保管場所です」とBitdefenderはレポートでThe Hacker Newsに伝えています。「さらに、特定のシステムからLSASSメモリをダンプし、アクティブなユーザー認証情報、場合によっては平文パスワードを回収しようとしました。」
この活動は2024年中頃からルーマニアのサイバーセキュリティ企業によって追跡されており、ジョージアの司法機関や政府機関、モルドバのエネルギー配給会社が標的となっています。
Curly COMradesは、ロシアの地政学的戦略と一致した目的で活動していると評価されています。その名称は、コマンド&コントロール(C2)やデータ転送にcurlユーティリティを多用し、コンポーネントオブジェクトモデル(COM)オブジェクトのハイジャックを行うことに由来しています。
攻撃の最終目標は、偵察や認証情報の窃取を実行するための長期的なアクセスを可能にし、その情報を活用してネットワーク内部にさらに深く侵入し、カスタムツールを使ってデータを収集し、攻撃者が管理するインフラへ流出させることです。
「全体的な行動からは、攻撃者が標準的な攻撃手法とカスタマイズされた実装を組み合わせ、正規のシステム活動に紛れ込むような綿密なアプローチを取っていることが示されています」と同社は指摘しています。「彼らのオペレーションは、繰り返しの試行錯誤、冗長な手法の使用、段階的なセットアップステップによって特徴づけられ、複数のシステムにわたって堅牢で目立たない足場を維持することを目的としています。」
攻撃の注目すべき点は、Resocks、SSH、Stunnelなどの正規ツールを用いて内部ネットワークへの複数の経路を作り、盗んだ認証情報でリモートコマンドを実行することです。Resocks以外に展開されたプロキシツールとしてはSOCKS5があります。脅威アクターが用いた正確な初期侵入経路は現在不明です。
感染したエンドポイントへの永続的なアクセスは、MucorAgentと呼ばれる専用バックドアによって実現されており、これはクラス識別子(CLSID)—COMクラスオブジェクトを識別するグローバル一意識別子—をハイジャックし、.NET Frameworkの一部である事前コンパイルサービスNative Image Generator(Ngen)を標的にしています。
「Ngenは、アセンブリを事前コンパイルするWindows .NET Frameworkのデフォルトコンポーネントであり、無効化されたスケジュールタスクを介して永続化の仕組みを提供します」とBitdefenderは述べています。「このタスクは非アクティブに見えますが、オペレーティングシステムが時折、予測できないタイミング(システムアイドル時や新しいアプリケーションの導入時など)で有効化・実行するため、密かにアクセスを復元する優れた仕組みとなっています。」
Ngenに関連付けられたCLSIDの悪用は、攻撃者の技術的な熟練度を示しており、非常に高い権限を持つSYSTEMアカウントで悪意のあるコマンドを実行する能力を与えます。Ngenに伴う全体的な予測不可能性を考慮すると、特定のタスクを実行するためのより信頼性の高い仕組みが存在する可能性が高いと考えられています。
MucorAgentはモジュール式の.NETインプラントで、3段階のプロセスを経て起動され、暗号化されたPowerShellスクリプトを実行し、その出力を指定されたサーバーにアップロードすることができます。Bitdefenderは他のPowerShellペイロードは回収できなかったと述べています。
「MucorAgentの設計からは、定期的にペイロードを実行できるバックドアとして機能することを意図していた可能性が高いことが示唆されます」と同社は説明しています。「各暗号化ペイロードはメモリに読み込まれた後に削除され、新たなペイロードを定期的に配信する追加の仕組みは確認されませんでした。」
またCurly COMradesは、C2通信やデータ流出時のリレーとして、正規だが侵害されたウェブサイトも悪用し、悪意のあるトラフィックを通常のネットワーク活動に紛れ込ませて検知を回避しようとしています。攻撃で観測されたその他のツールは以下の通りです。
- CurlCat:標準入力・出力ストリーム(STDINおよびSTDOUT)とC2サーバー間で、トラフィックを侵害サイト経由でHTTPSにより双方向データ転送を行うためのツール
- RuRat:永続的アクセスのための正規のリモート監視・管理(RMM)プログラム
- Mimikatz:メモリから認証情報を抽出するために使用
- netstat、tasklist、systeminfo、ipconfig、pingなどの各種組み込みコマンドによる情報収集
- curlを使って盗んだデータ(認証情報、ドメイン情報、内部アプリケーションデータなど)を流出させるPowerShellスクリプト
「分析したキャンペーンは、標的環境内で長期的なアクセスを確立・維持するために、既知およびカスタマイズされた多様な手法を用いる非常に粘り強く適応力の高い脅威アクターを明らかにしました」とBitdefenderは述べています。
「攻撃者は公開されているツール、オープンソースプロジェクト、LOLBin(Living Off the Land Binaries)に大きく依存しており、新たな脆弱性の悪用よりも、ステルス性、柔軟性、検知回避を重視していることが示されています。」
翻訳元: https://thehackernews.com/2025/08/new-curly-comrades-apt-using-ngen-com.html