13/08/25
Среди ключевых действий атакующих — неоднократные попытки выгрузить базу NTDS с контроллеров домена, содержащую хэши паролей и данные аутентификации, а также снятие дампов памяти процесса LSASS для получения учётных данных, включая потенциально незашифрованные пароли пользователей. Способ первоначального проникновения пока остаётся неизвестным, пишут в Securitylab.
Активность Curly COMrades отслеживается с середины 2024 года, однако первые признаки применения вредоносного ПО MucorAgent относятся ещё к ноябрю 2023 года. Вполне вероятно, что операции велись и раньше.
Название Curly COMrades связано с широким использованием утилитыcurlдля C2-коммуникаций и эксфильтрации данных, а также с методикой перехвата объектов COM (Component Object Model). Среди других характерных особенностей — скрытность, методичный подход и устойчивость инфраструктуры: атакующие действовали через повторные попытки, избыточные методы и пошаговую настройку для минимизации шума и обнаружения.
Для обеспечения постоянного доступа применялась кастомная троянская программа MucorAgent, внедряемая через механизм COM с использованием CLSID, связанного с сервисом Ngen (Native Image Generator) из .NET Framework . Хотя соответствующая задача в планировщике помечена как отключённая, операционная система иногда запускает её спонтанно — во время простоя или установки новых приложений — что делает эту схему особенно удобной для восстановления доступа без лишнего шума.
MucorAgent представляет собой модульный .NET-имплант, разворачиваемый в три этапа. Он способен расшифровывать и запускать PowerShell-скрипты , загружая их результаты на управляющий сервер. Bitdefender подчёркивает, что каждый зашифрованный скрипт удаляется из памяти после исполнения, а постоянного канала доставки новых нагрузок обнаружено не было. Это указывает на предназначение бэкдора как инструмента периодического доступа.
Любопытно, что для C2-связи и утечки информации злоумышленники использовали скомпрометированные, но легальные веб-сайты, что позволяло сливать данные, не вызывая подозрений. Всё это демонстрирует высокий уровень адаптивности и стремление к максимальной скрытности.
Bitdefender подчёркивает, что Curly COMrades не делают ставку на нулевые уязвимости — наоборот, они полагаются на открытые инструменты, проекты с открытым исходным кодом и так называемые LOLBins (легитимные исполняемые файлы Windows), адаптируя стандартные методы под конкретную инфраструктуру цели.
