网络安全公司Bitdefender最新报告披露,名为Curly COMrades的新兴黑客组织自2024年中期以来,针对格鲁吉亚政府及司法机构,以及摩尔多瓦能源企业实施了复杂的网络间谍攻击。该团伙被认为与俄罗斯利益诉求存在关联,其行动旨在获取涉政关键信息。
Curly COMrades使用定制三阶段恶意软件“MucorAgent”,该恶意软件基于.NET开发,具备高度隐蔽性,可执行AES加密的PowerShell脚本,并将结果回传至指定服务器。此外,攻击者广泛利用curl.exe进行数据渗透和联络命令控制(C2)服务器,并通过劫持COM对象维持持久化访问。
报告指出,入侵团队在受害系统内部署了多种代理代理工具,包括用Go语言编写的Resocks。该工具通过curl.exe下发,并作为计划任务或Windows服务注册,并通过TCP 443或8443端口与C2通信。黑客还部署了自定义SOCKS5服务器和基于SSH+Stunnel的远程端口转发,以增强通讯冗余性。
为进一步规避检测,攻击者还开发了CurlCat工具,利用libcurl和自定义Base64字母表混淆流量,借助被攻陷的合法网站转发通信流。此外,黑客通过劫持CLSID对象锁定NGEN组件,实现异常的持久化机制,即使计划任务外观上处于禁用状态,也能在特定时段被系统自动执行。