ロシアのAPTグループ「Curly COMrades」が新たなバックドアと持続性のトリックを使用

研究者たちは、これまで知られていなかったバックドアプログラムと新しい持続性技術を使い、EU加盟を目指すモルドバとジョージアの主要組織を標的とした新たなサイバースパイ活動を観測しました。この活動を既知のAPTグループと結びつける証拠がないため、研究者たちはこのキャンペーンを「Curly COMrades」と名付けた新しいグループによるものとし、ロシア連邦の利益に奉仕しているようだとしています。

「彼らの技術的特徴には、C2通信やデータ流出にcurl.exeを多用する点や、ツールの重要な部分でCOM（Component Object Model）オブジェクトの乗っ取りが含まれます」と、アンチウイルス企業Bitdefenderの研究者はレポートの中で説明しています。「『Curly COMrades』のような名前を選んだのは、サイバー犯罪を美化せず、洗練や神秘性のイメージを取り除くためです。彼らは『ファンシーベア』や『ウィザードスパイダー』ではなく、単に破壊的かつ有害な行為を行う悪意ある攻撃者です。」

このグループの活動は2024年後半にまで遡ることができ、これまでにジョージアの司法・政府機関やモルドバのエネルギー配給会社が標的となっています。両国は旧ソ連の構成国であり、公式にEU加盟候補国となっていますが、これはロシアの利益に反します。

プロキシリレーとバックアップトンネルの多用

ネットワークへの侵入後、Curly COMradesの攻撃者は自らが管理するリレーへの複数のリバースプロキシトンネルを構築します。これらは、盗んだ認証情報を使ってシステム上でコマンドを実行し、内部データの収集と流出を目的としています。

このグループは、ドメインコントローラーからNTDSデータベースを抽出したり、主要システム上でLSASSプロセスメモリをダンプしようと繰り返し試みていました。どちらもWindowsの認証情報が保存されている場所です。また、攻撃者はブラウザデータも収集しており、これには認証情報やセッションクッキーも含まれる可能性があります。

「このキャンペーンで観測されたもう一つの重要な戦術は、侵害した正規ウェブサイトをトラフィックリレーとして戦略的に利用することです。これは検知や追跡を大幅に困難にします」と研究者は述べています。「この手法により、悪意あるトラフィックを通常のネットワーク活動に紛れ込ませ、セキュリティツールによる通信の検知を難しくしています。」

よく観測されるプロキシツールには、オープンソースのプロキシトンネルであるResocksや、GitHubのオープンソースプロジェクトを基にしたSOCKS5サーバーがあります。攻撃者はまた、SSHとStunnelを組み合わせてポートフォワーディングやTCPトラフィックの暗号化にも利用していました。

Bitdefenderの研究者は、catユーティリティに似た動作をするカスタムツールの使用も確認しました。このツールは双方向のデータ転送を容易にし、「CurlCat」と名付けられ、GoogleUpdate.exeとしてシステムに配置されていました。

ある組織を標的とした攻撃では、研究者は「MucorAgent」と名付けたカスタムバックドアが複数のシステムに展開されているのを観測しました。このマルウェアツールは.NETで書かれており、AESで暗号化されたPowerShellスクリプトを実行し、その出力を攻撃者が管理するサーバーにアップロードする設計となっています。

「PowerShellペイロード自体は回収されませんでしたが、マルウェアの設計から、定期的な実行を目的としていたと考えられます。おそらくデータ収集や流出のためでしょう」と研究者は記しています。

さらに重要なのは、MucorAgentがSystem.Management.Automation名前空間を通じてPowerShellコードを実行することで、powershell.exeプロセスを起動せずに済み、検知されにくい点です。また、あまり知られていないスケジュールタスクを乗っ取るという珍しい持続性メカニズムも使用しています。

このマルウェアは、CLSIDおよびCOMハンドラー{de434264-8fe9-4c0b-a83b-89ebeebff78e}に自身を挿入します。これは「.NET Framework NGEN v4.0.30319 Critical」というWindowsのスケジュールタスクに対応しており、通常はデフォルトで無効ですが、MicrosoftのNGEN（Native Image Generator）という.NETアプリケーションのインストールや更新時に最適化を行うツールに対応しているため、システムによって定期的に有効化されます。

「このCLSIDを乗っ取ることで、攻撃者は独自の持続性メカニズムを獲得し、これらの定期的なNGEN最適化スキャンの際にMucorAgentバックドアを復元できるようになります」と研究者は述べています。「この方法の大きな利点は、ステルス性と、特権レベルの高いSYSTEMアカウントでの実行です。CLSID乗っ取りとNGENを組み合わせたこの手法は、我々の観測では前例がありません。」

MucorAgentに加え、攻撃者は「Remote Utilities」という正規のリモート監視・管理（RMM）ツールも展開していました。RMMツールの悪用は、APTやサイバー犯罪グループの間で広く行われるようになっています。

「分析したキャンペーンでは、標的環境内で長期的なアクセスを確立・維持するために、既知およびカスタマイズされた多様な手法を駆使する、非常に持続的かつ適応力の高い脅威アクターが明らかになりました」と研究者は述べています。「攻撃者は主に公開ツールやオープンソースプロジェクト、LOLBins（Living Off the Land Binaries）を多用し、新たな脆弱性の悪用よりも、ステルス性・柔軟性・検知回避を重視していることが示されました。」

Bitdefenderのレポートには、侵害の指標（IoC）やTTP（戦術・技術・手順）のリストが含まれており、脅威ハンティングのための検知ルール作成に利用できます。これらの攻撃はモルドバとジョージアで観測されましたが、ロシア系グループはウクライナを支援するすべての国を標的にすることで知られています。