摘要：摩尔多瓦和格鲁吉亚近几个月来遭到威胁组织攻击，攻击活动自 2024 年底开始活动，对格鲁吉亚的司法和政府机构以及摩尔多瓦的一家能源分配公司发动了间谍攻击。

摩尔多瓦和格鲁吉亚近几个月来遭到威胁组织攻击，攻击活动自 2024 年底开始活动，对格鲁吉亚的司法和政府机构以及摩尔多瓦的一家能源分配公司发动了间谍攻击。

网络安全公司Bitdefender发布了一份关于此次攻击活动的研究报告，将该组织命名为“Curly COMrades”，命名基于该组织在攻击过程中使用的工具。

该公司表示，该组织一直以“地缘政治发生重大变化国家的关键组织”为目标。

Bitdefender 解释说，该组织试图保持对目标网络的长期访问并窃取有效凭证，这使他们能够在网络中移动并收集和传输数据。

他们表示：“通过分析该活动，我们发现了一个高度持久且适应性极强的威胁组织，它采用了各种已知和定制的技术来建立并维持在目标环境中的长期访问。”

“为了避免触发警报，渗透活动刻意减少并手动执行。目标文件（包括凭证、域信息和内部应用程序数据）被存放在受害者计算机上可公开访问的位置……然后被存档并渗透到攻击者控制的服务器。”

入侵者反复尝试提取包含用户密码和身份验证数据的某些数据库。他们还使用代理工具创建了多种进入内部网络的途径。

Bitdefender 发现黑客还使用被入侵但合法的网站作为流量中继，这使得他们将恶意流量与正常网络活动混合在一起，使防御者难以检测或归因这些行为。

Resocks 充当受感染网络的中继点

Bitdefender 解释说：“通过将命令与控制 (C2) 和数据泄露路由到看似无害的网站，他们绕过了信任已知域名的防御措施，并隐藏了其真实的基础设施。我们所观察到的很可能只是他们控制的庞大网络基础设施的一小部分。”

研究人员表示，他们寻找与其他已知威胁组织的重叠之处，但只发现很小的相似之处。

Bitdefender 技术解决方案总监 Martin Zugec 表示，这次活动之所以引人注目，是因为攻击者使用了巧妙的技术来维持对系统的访问。

黑客接管了 Windows 操作系统上默认安装的工具，并使用“操作系统偶尔会在不可预测的时间启用和执行的计划任务，例如在空闲期间或新的应用程序部署期间”。

Zugec称，当计划任务运行时，它会被劫持并重定向到恶意植入物，从而创建“重新获得访问权限的隐秘方式”。

黑客还使用了一种名为 MucorAgent 的复杂新型恶意软件，该恶意软件被发现存在于其中一个目标组织的多个系统中。研究人员表示，该恶意软件的设计“表明其执行是定期进行的——很可能是为了收集和泄露数据。”

他们严重依赖公开可用的工具、开源项目等，表现出“更喜欢隐秘、灵活和最低限度的检测，而不是利用新的漏洞”。

技术报告：

来源：会杀毒的单反狗