【雲智維資安預警通知】
一、摘要
資安業者 Bitdefender 揭露一個新興的俄羅斯駭客組織 Curly COMrades活動行為,他們的主要目標是政府、司法機構與能源公司,並利用代理伺服器工具(Resocks、SSH、Stunnel) 與被入侵的合法網站來隱匿流量。駭客部署的核心惡意程式 MucorAgent 可透過 CLSID 劫持 Windows NGEN 達成持久化,並從網域控制器與 LSASS 竊取帳號雜湊、認證憑證與明文密碼。
二、存在風險
駭客透過 MucorAgent 惡意程式,並利用 CLSID 劫持 Windows NGEN 的方式達成持久化,讓惡意程式即使在系統重啟後依然存留於受害端。這種技術手法顯示攻擊者具備熟練的系統層級操作能力,能長期維持對受害環境的控制。
一旦取得初步存取,攻擊者會鎖定網域控制器與 LSASS 程序,執行記憶體傾印竊取帳號雜湊、驗證憑證與明文密碼。這意味著組織的高權限帳號極易遭到破解與濫用,使駭客得以進行橫向移動,全面掌控內部網路資源。
更進一步地,駭客利用代理伺服器及遭入侵的合法網站來轉送惡意流量,使其行為與正常網路活動混淆,降低被偵測的機率。這不僅讓組織難以及時察覺異常,還可能導致長期潛伏,造成敏感資訊外洩、基礎設施癱瘓與營運中斷等嚴重後果。
IoC:
Main object:
c:\program files (x86)\google\googleupdate.exe:
MD5: b55e8e1d84d03ffe885e63a53a9acc7d, dd253f7403644cfa09d8e42a7120180d
c:\programdata\hp.exe, c:\programdata\microsoft\mf\mf.exe:
MD5: 44a57a7c388af4d96771ab23e85b7f1e
c:\programdata\intel\logs\data\tasklauncher.dll
MD5: 5a8ff502d94fe51ba84e4c0627d43791, c1cdca4f765f38675a4c4dfc5e5f7e59
c:\programdata\results.exe:
MD5: 5ed6b17103b231e9ff2abda1094083e3
c:\programdata\tb.exe:
MD5: 171f097c66ee0c6a69dde5da994ed8a7
Dropped Files:
c:\programdata\{1.bat, ca.exe, ch_prm.bat, curl.taskhandler.xml, drm.exe, rar.bat, run.bat}
c:\users\<user>\appdata\roaming\microsoft\windows\templates\curl\{icon.png, index.png}
c:\programdata\microsoft\{drm\msedge.exe, edgeupdate\{checkupdate.exe, msedge.exe}}
Connections:
75.127.13.136
207.180.194.109
91.107.174.190
96.30.124.103
45.43.91.10
194.87.31.171
Scheduled Tasks:
\microsoft\windows\devicedirectoryclient\{registerdevicesusb, registerdeviceprotectionusb}
\microsoft\windows\updateorchestrator\check_ac
javaupdate
\mozilla\browser.visualupdate
microsoftedgeupdatetaskmachine
backup
Windows Services:
oraclejavasvc
msedgesvc
建議改善措施:
定期更新系統和軟體。
定期執行安全評估。
將IoC匯入相關資安設備,藉以偵測和阻擋內部主機之惡意行為。
啟用多因素驗證,並定期更新系統與應用程式,避免帳號被盜用。
對內部網路與可疑程式行為進行監控,偵測異常存取或惡意後門活動。
對內部員工實施教育訓練(如:勒索病毒、社交工程、惡意郵件),藉以提供員工資安意識。
儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。
情資報告連結:https://www.bitdefender.com/en-us/blog/businessinsights/curly-comrades-new-threat-actor-targeting-geopolitical-hotbeds