Ngen — тайный портал, через который шпионы проникают в сети навсегда
NewsMakerКак госучреждения взламывают их же собственными инструментам.и
Специалисты Bitdefender зафиксировали ранее неизвестную кибершпионскую группировку , получившую условное имя Curly COMrades. По данным отчёта, злоумышленники нацелены на длительное скрытое присутствие в инфраструктуре государственных и судебных организаций Грузии, а также энергетического предприятия в Молдавии.
Среди ключевых действий атакующих — неоднократные попытки выгрузить базу NTDS с контроллеров домена, содержащую хэши паролей и данные аутентификации, а также снятие дампов памяти процесса LSASS для получения учётных данных, включая потенциально незашифрованные пароли пользователей. Вектор первоначального проникновения пока остаётся неизвестным.
Активность Curly COMrades отслеживается с середины 2024 года, однако первые признаки применения вредоносного ПО MucorAgent относятся ещё к ноябрю 2023 года. Вполне вероятно, что операции велись и раньше.
Название Curly COMrades связано с широким использованием утилиты
Для обеспечения постоянного доступа применялась кастомная троянская программа MucorAgent, внедряемая через механизм COM с использованием CLSID, связанного с сервисом Ngen (Native Image Generator) из .NET Framework . Хотя соответствующая задача в планировщике помечена как отключённая, операционная система иногда запускает её спонтанно — во время простоя или установки новых приложений — что делает эту схему особенно удобной для восстановления доступа без лишнего шума.
MucorAgent представляет собой модульный .NET-имплант, разворачиваемый в три этапа. Он способен расшифровывать и запускать PowerShell-скрипты , загружая их результаты на управляющий сервер. Bitdefender подчёркивает, что каждый зашифрованный скрипт удаляется из памяти после исполнения, а постоянного канала доставки новых нагрузок обнаружено не было. Это указывает на предназначение бэкдора как инструмента периодического доступа.
Группировка активно использовала легитимные утилиты для маскировки трафика: Resocks, SSH, Stunnel и SOCKS5. Также в арсенале Curly COMrades были: CurlCat (переадресация STDIN/STDOUT через HTTPS), RuRat (законное ПО для удалённого администрирования), Mimikatz (для извлечения учётных данных из памяти), встроенные команды Windows (
Любопытно, что для C2-связи и утечки информации злоумышленники использовали скомпрометированные, но легальные веб-сайты, что позволяло сливать данные, не вызывая подозрений. Всё это демонстрирует высокий уровень адаптивности и стремление к максимальной скрытности.
Bitdefender подчёркивает, что Curly COMrades не делают ставку на нулевые уязвимости — наоборот, они полагаются на открытые инструменты, проекты с открытым исходным кодом и так называемые LOLBins (легитимные исполняемые файлы Windows), адаптируя стандартные методы под конкретную инфраструктуру цели. Это делает их крайне гибким и труднообнаружимым противником, нацеленным на длительное присутствие в скомпрометированных сетях.
Специалисты Bitdefender зафиксировали ранее неизвестную кибершпионскую группировку , получившую условное имя Curly COMrades. По данным отчёта, злоумышленники нацелены на длительное скрытое присутствие в инфраструктуре государственных и судебных организаций Грузии, а также энергетического предприятия в Молдавии.
Среди ключевых действий атакующих — неоднократные попытки выгрузить базу NTDS с контроллеров домена, содержащую хэши паролей и данные аутентификации, а также снятие дампов памяти процесса LSASS для получения учётных данных, включая потенциально незашифрованные пароли пользователей. Вектор первоначального проникновения пока остаётся неизвестным.
Активность Curly COMrades отслеживается с середины 2024 года, однако первые признаки применения вредоносного ПО MucorAgent относятся ещё к ноябрю 2023 года. Вполне вероятно, что операции велись и раньше.
Название Curly COMrades связано с широким использованием утилиты
curl для C2-коммуникаций и эксфильтрации данных, а также с методикой перехвата объектов COM (Component Object Model). Среди других характерных особенностей — скрытность, методичный подход и устойчивость инфраструктуры: атакующие действовали через повторные попытки, избыточные методы и пошаговую настройку для минимизации шума и обнаружения. Для обеспечения постоянного доступа применялась кастомная троянская программа MucorAgent, внедряемая через механизм COM с использованием CLSID, связанного с сервисом Ngen (Native Image Generator) из .NET Framework . Хотя соответствующая задача в планировщике помечена как отключённая, операционная система иногда запускает её спонтанно — во время простоя или установки новых приложений — что делает эту схему особенно удобной для восстановления доступа без лишнего шума.
MucorAgent представляет собой модульный .NET-имплант, разворачиваемый в три этапа. Он способен расшифровывать и запускать PowerShell-скрипты , загружая их результаты на управляющий сервер. Bitdefender подчёркивает, что каждый зашифрованный скрипт удаляется из памяти после исполнения, а постоянного канала доставки новых нагрузок обнаружено не было. Это указывает на предназначение бэкдора как инструмента периодического доступа.
Группировка активно использовала легитимные утилиты для маскировки трафика: Resocks, SSH, Stunnel и SOCKS5. Также в арсенале Curly COMrades были: CurlCat (переадресация STDIN/STDOUT через HTTPS), RuRat (законное ПО для удалённого администрирования), Mimikatz (для извлечения учётных данных из памяти), встроенные команды Windows (
netstat, tasklist, systeminfo, ipconfig, ping), а также PowerShell-скрипты с curl для вывода данных за периметр. Любопытно, что для C2-связи и утечки информации злоумышленники использовали скомпрометированные, но легальные веб-сайты, что позволяло сливать данные, не вызывая подозрений. Всё это демонстрирует высокий уровень адаптивности и стремление к максимальной скрытности.
Bitdefender подчёркивает, что Curly COMrades не делают ставку на нулевые уязвимости — наоборот, они полагаются на открытые инструменты, проекты с открытым исходным кодом и так называемые LOLBins (легитимные исполняемые файлы Windows), адаптируя стандартные методы под конкретную инфраструктуру цели. Это делает их крайне гибким и труднообнаружимым противником, нацеленным на длительное присутствие в скомпрометированных сетях.