未報告の脅威アクターCurly COMrades(カーリー・コムレイズ)が、ジョージアの司法・政府機関及びモルドバのエネルギー配電企業を標的にサイバースパイ活動を行っている。
Bitdefender(ビットディフェンダー)は2024年半ばから追跡し、NTDSデータベースやLSASSメモリから認証情報を窃取しようとしたと報告した。攻撃はcurl(カール)とCOM(コンポーネントオブジェクトモデル)ハイジャックを多用し、MucorAgent(ミューコルエージェント)バックドアがNgen(ネイティブイメージジェネレーター)のCLSIDを悪用して永続化を実現した。
Resocks(リソックス)、SSH、Stunnel(スタネル)、SOCKS5(ソックスファイブ)、CurlCat(カールキャット)、RuRat(ルーラット)、Mimikatz(ミミカッツ)などのツールが使用された。
※このCurly COMradesは2023年11月以降活動が確認されている。
From: 
New ‘Curly COMrades’ APT Using NGEN COM Hijacking in Georgia, Moldova Attacks
【編集部解説】
本件のキモは、NGEN COMハイジャックという「Windowsの最適化プロセスを悪用した低ノイズの永続化」と、「curl.exe中心のC2・流出設計」によって、監視をすり抜けながら長期潜伏を成立させている点です。ジョージアの司法・政府機関、モルドバのエネルギー配電企業という選好は、オペレーションがロシアの地政学的利益と整合するとの評価を裏づけます。
NGEN(Native Image Generator)のタスクは通常無効に見える一方、アイドル時や新規アプリ導入時など不定期にOS側で有効化され実行されます。Curly COMradesはCLSIDハイジャックでこの挙動にぶら下がり、SYSTEM権限下でMucorAgentを再起動させる導線を確保しています。この「予測不能性」は検知回避に寄与する反面、攻撃側も補助トリガーを併設している可能性が高いという含みも示されます。
MucorAgentは三段構成の.NETバックドアで、AMSI回避を挟みつつ暗号化PowerShellを実行し、出力をPNGに偽装してcurl.exeで外送します。ペイロードをindex.pngやicon.pngとして特定パスに置く運用は、ファイルベース監視の盲点を突く「無害化」手法の典型です。さらに、正規だが侵害済みのウェブサイトを中継に使うことで、トラフィック信頼モデルを逆手に取っています。
初期侵入は未特定ながら、内部横展開ではResocks、SSH、Stunnel、カスタムSOCKS5、そしてCurlCatによるlibcurlベースの難読化通信が併用され、認証情報取得ではNTDS抽出やLSASSダンプ、Mimikatz、PowerShellのAD列挙などが確認されています。この「既存ツール+LOLBin(Living Off the Land)」志向は、ゼロデイよりもステルス性と柔軟性を重視する近年の国家系スパイ活動の潮流と一致します。
エンタープライズにとってのインパクトは三層です。第一に、EPP/EDRが苦手とする「正規プロセス連携+不定期タスク」を突く永続化の成立で、アラートボリュームを上げずに居座られます。第二に、アイデンティティ基盤直撃(NTDS・LSASS)により、ネットワーク全域の信頼がドミノ的に崩され得ます。第三に、正規サイト中継とPNG偽装はDLPやプロキシのポリシー回避余地を広げ、出口監視の閾値設計を再考させます。
一方で、防御側にも手立てはあります。NGEN関連CLSIDの改変監視とスケジュールタスクの異常生成検出、curl.exeのネットワーク挙動(特に画像拡張子とPOST/PUTの組合せ)のプロファイリング、公開済みフォルダ(例:Users\Public\Documents)でのステージング検知は、実装難度に対して効果が見込めます。加えて、ドメインコントローラー周辺のボリュームシャドウコピー操作とLSASSアクセスの厳格監査は、アイデンティティ侵害の初期兆候として重要です。
規制・ガバナンス面では、重要インフラおよび公共部門に対し、「正規プロセス濫用」を前提にした行動ベース検知の義務化、アイデンティティ・レジリエンス(Tiering、PAW、LSA保護、CredGuard等)のベンチマーク適合、正規サイト経由の中継対策としてのDNS/HTTPS可視化要件が論点になります。地政学的背景を踏まえると、域内サプライチェーンの監視共通フレーム策定も急務です。
最後に、この事案は「検知されにくい仕組み自体」を足場にする設計思想が主流化していることを示します。NGENのようなメンテナンス機構の悪用、画像ファイル偽装、正規サイト中継—いずれも”当たり前の正常”に寄り添うため、シグネチャ一発での検知は難しくなります。だからこそ、攻撃パイプライン全体の前提(どのプロセスが、いつ、何を、どこへ)をモデル化し、逸脱を検出する「正常性の定義のアップデート」が企業防御の本丸になります。
【用語解説】
APT(Advanced Persistent Threat)
政治・産業スパイを目的に長期潜伏と継続的侵入を行う攻撃者像の総称。
COM(Component Object Model)
Windowsでオブジェクトを再利用・連携する仕組みで、CLSIDという識別子で管理される。
CLSID(Class Identifier)
COMクラスを一意に識別するGUIDで、レジストリ改変によりハイジャック悪用され得る。
NGEN(Native Image Generator)
.NETの事前コンパイル機構で、OSのアイドル等で不定期にタスクが実行される。
NGEN COMハイジャック
NGEN関連CLSIDを差し替え、SYSTEM権限で任意コード実行や永続化を実現する手口。
MucorAgent
.NET製の3段階インプラントで、AES暗号化PowerShellを実行し結果を外送するバックドア。
LSASSダンプ
認証情報を含むLSASSプロセスのメモリを抽出し、資格情報を窃取する技術。
NTDS(NTDS.dit)
Active Directoryのユーザーハッシュ等を格納するデータベースで、ドメイン侵害の主要標的。
LOLBins(Living off the Land Binaries)
OSや正規ツール(例:curl)を悪用し痕跡を目立たなくする手法。
CurlCat
libcurlを用い、侵害済み正規サイトを経由してHTTPSでC2と双方向通信するツール。
侵害済み正規サイト中継
乗っ取られた一般サイトをトラフィック中継に使い、検知回避と秘匿化を図る戦術。
【参考リンク】
Curly COMrades: A New Threat Actor Targeting Geopolitical Hotbeds(外部)
BitdefenderがCurly COMradesとMucorAgent、NGEN COMハイジャックの手口を技術詳細とともに解説する公式記事
Stunnel(公式)(外部)
TLSトンネリングを提供するオープンソースのプロキシで、平文プロトコルの暗号化ラッピングに用いられる
Microsoft Docs: CLSID Key(公式)(外部)
WindowsのCOMにおけるCLSIDの役割とレジストリ構造を解説する公式ドキュメント
Microsoft Docs: ngen.exe(公式)(外部)
NGENの目的、動作タイミング、最適化の仕組みを説明する公式ドキュメント
【参考記事】
Curly COMrades cyberspies hit govt orgs with custom malware(外部)
BleepingComputerの解説記事。MucorAgentの3段構成、AMSI回避、PNG偽装外送の詳細を補足
Russian-Linked Curly COMrades Deploy MucorAgent Malware in Eastern Europe(外部)
Hackreadによる概説。NGENハイジャックの前例がない手法とロシアの地政学的文脈を補強
【編集部後記】
今回のCurly COMradesによるNGEN COMハイジャック攻撃を調査していて、最も印象的だったのは「正常と異常の境界線がいかに曖昧になっているか」という点でした。NGENという.NETの最適化プロセスを悪用する発想は、攻撃者が単なる脆弱性悪用から、システムの「当たり前の動作」そのものを武器にする時代に入ったことを物語っています。
特に興味深いのは、curl.exeという開発者なら誰もが使う正規ツールを、C2通信の中核に据えた点です。これは「怪しいツールを持ち込まず、その場にあるもので済ませる」というLiving Off the Landの思想が、もはや攻撃の常識になりつつあることを示しています。防御側としては、「何が悪意ある行動か」を再定義する必要に迫られているのが現状です。
皆さんの組織では、こうした「正規プロセスを悪用した攻撃」への備えはいかがでしょうか。従来のシグネチャベース検知だけでは限界がある中、どのような行動ベース監視や異常検知を導入されていますか?また、アイデンティティ基盤の保護について、現場ではどんな課題を感じておられるでしょうか。ぜひコメントで実体験や対策のアイデアを共有していただけると、読者同士で学び合えると思います。
