新APT组织Curly COMrades针对地缘政治热点地区展开攻击活动——每周威胁情报动态第236期（08.15-08.21）

新APT组织Curly COMrades针对地缘政治热点地区展开攻击活动

网络安全公司Bitdefender实验室发现一个自2024年以来活跃的APT攻击组织“Curly COMrades”。该组织以支持俄罗斯地缘政治利益为目标，精准攻击处于地缘政治动荡地区的关键组织机构，涉及格鲁吉亚的司法和政府部门以及摩尔多瓦的能源分发企业。

Curly COMrades这一名称源于该组织的技术特征及其背后的意图，研究人员注意到，攻击者在命令与控制（C2）通信和数据窃取过程中大量使用curl.exe工具，并通过劫持Windows组件对象模型（COM）对象来执行恶意操作。这种技术手段使得攻击行为难以被传统安全工具检测到。此外，研究人员选择Curly COMrades这一带有贬义的名称，旨在挑战网络安全行业为威胁组织取“炫酷”或“神秘”名称的惯例，强调这些恶意行为的破坏性本质，而非将其美化。

研究人员在技术分析中发现，Curly COMrades的主要目标是获取目标网络的长期访问权限并窃取有效凭据。他们通过多种方式实现这一目标，包括反复尝试提取域控制器中的NTDS数据库，这是Windows网络中存储用户密码哈希和认证数据的主要存储库。此外，攻击者还尝试从特定系统中dump LSASS内存，以获取活跃用户的凭据，甚至可能包括明文密码。这种对凭据的执着追求表明，攻击者旨在通过合法凭据在网络中进行横向移动，收集敏感数据并将其传输至外部。

攻击者的高明之处还体现在其使用定制化的恶意软件和基础设施。例如，研究人员发现了一种此前未知的三阶段恶意软件组件“MucorAgent”。该恶意软件设计用于保持持久性，执行PowerShell脚本，并通过curl.exe将数据输出进行外泄。MucorAgent尤其独特的地方在于其利用Windows原生镜像生成器（NGEN）实现了一种前所未有的持久化技术，使得检测和清除变得异常困难。

在攻击过程中，Curly COMrades组织展现了高度的隐蔽性和适应性。他们利用已被入侵的合法网站作为流量中继站，将恶意流量与正常网络活动混合，从而绕过基于地理位置的访问限制和安全防御。例如，研究人员观察到摩尔多瓦的一台resocks客户端向乌克兰的一个Redmine服务器（默认使用3000端口）发起HTTP请求。Redmine是一款广泛使用的开源项目管理应用，这一行为强烈暗示乌克兰的Redmine服务器已被攻击者入侵并被重新用作攻击基础设施的一部分。此外，攻击者还使用了类似Impacket工具包中的atexec工具，通过窃取的凭据执行远程命令，重点窃取浏览器数据和用户凭据。他们还尝试执行DCSync攻击，这是一种利用Active Directory合法复制功能的攻击技术，诱骗域控制器将敏感信息（包括用户密码哈希）复制到攻击者的机器上。这种技术进一步展示了Curly COMrades对凭据窃取和网络内横向移动的专注。

研究人员的研究还指出，攻击者通过使用合法网站作为中继站，显著提高了检测和归因的难度。这种策略允许他们隐藏真实的基础设施，并利用可信域名绕过安全防御。研究人员认为，目前观察到的活动可能只是Curly COMrades组织控制的庞大网络基础设施的一部分，实际攻击范围可能远超当前发现。

图 1 Resocks 充当受感染网络的中继点

参考链接：

https://www.bitdefender.com/en-us/blog/businessinsights/curly-comrades-new-threat-actor-targeting-geopolitical-hotbeds

APT43组织针对多个国家驻韩国大使馆展开多次网络钓鱼攻击

网络安全公司Trellix近日发布研究报告，揭露了一场由朝鲜关联的APT43（又称Kimsuky）发起的复杂网络间谍活动。这场活动以GitHub为命令与控制（C2）服务器，通过鱼叉式网络钓鱼攻击向韩国境内的外国大使馆分发XenoRAT恶意软件，旨在窃取敏感信息。活动自2025年3月起持续进行，至今已发起至少19次针对高价值外交和政治目标的攻击。

攻击过程呈现多阶段特点。初始阶段，攻击者通过鱼叉式钓鱼邮件作为入口，这些邮件精心设计得看似合法，常冒充真实外交官或官员，邮件中包含带双重扩展名的Windows快捷方式压缩文件，伪装成PDF文件诱骗受害者打开。为避开检测，他们将恶意文件放入密码保护的压缩档案，通过云存储链接或韩国电子邮件服务交付，且邮件中提供密码以增加可信度。

在社会工程学运用上，攻击者同样颇具策略。钓鱼内容模仿合法外交信函，包含官方签名、外交术语及对真实事件的引用，还会将诱饵与真实外交事件同步，比如2024年中期的虚假会议邀请与实际的韩非合作论坛时间重合，以此提高诱饵的可信度，增加目标打开恶意附件的可能性。

当受害者解压并打开文档后，恶意的快捷方式会执行嵌入的PowerShell命令，触发经过混淆处理的脚本，该脚本会解码有效载荷并在内存中执行，还会连接到攻击者控制的GitHub仓库，通过计划任务建立持久性以持续执行操作。随后，恶意脚本会对受害者系统进行侦察，收集包括操作系统详情、运行进程、IP 地址等各类系统信息，为攻击者提供目标环境信息。

在数据渗出环节，恶意软件不与传统命令与控制服务器通信，而是滥用GitHub API上传数据。被窃取的数据会被编码并以特定格式命名，通过PUT请求上传到GitHub内容API，成功上传后文件会被自动删除，这种方式能让数据渗出过程与合法流量混合，降低被发现的概率。同时，GitHub还充当着命令与控制枢纽的角色，恶意软件可从私有仓库获取指令，攻击者通过更新仓库中的文件就能向受感染机器推送新的有效载荷，且采用“快速”基础设施轮换策略，进一步隐藏恶意活动。

从钓鱼活动的时间线来看，其分多个波次进行，每个波次都有针对外交目标的特定主题。2025年3月初为初步探测阶段，攻击者发送相对普通主题的邮件测试恶意软件交付方法，随后转向军事主题和欧盟相关内容；5月进入外交目标攻击高峰，使用更复杂诱饵且目标范围更广，涉及欧盟会议、美国独立日庆祝活动等多个主题；6月至7月则纳入美韩军事联盟相关主题及双边外交角度的诱饵，钓鱼诱饵在策略上保持一致，文件交付多通过特定服务，档案文件名与邮件主题匹配以显得正式紧急。同时，钓鱼攻击常与实际外交或地区事件一致，邮件发送时间也选在目标工作开始时段，以提高打开率。

攻击活动基础设施方面，攻击者使用合法平台和自定义域名，创建了至少两个GitHub账户及多个私有仓库，仓库名称与诱饵主题相关，每个仓库作为特定钓鱼主题或目标集的隔离区。相关IP地址和域名也被追踪到与APT43基础设施有关联，攻击者在特定的虚拟化Windows环境中操作，机器显示出开发者级别的使用迹象，包括多个Chrome进程、频繁使用PowerShell等工具，还有远程管理工具和云服务的使用痕迹，展现出专业的操作。

图 2 攻击活动感染攻击链

参考链接：

https://www.trellix.com/blogs/research/dprk-linked-github-c2-espionage-campaign/

比利时电信运营商公司遭遇重大网络攻击活动

比利时电信运营商Orange Belgium近日宣布，该公司于7月底发现一起重大网络攻击事件，导致约85万客户账户的数据泄露。这一事件引发了广泛关注，虽然公司强调没有关键敏感信息被窃取，但攻击者成功入侵了其IT系统，获取了部分用户个人信息。他们迅速采取措施封锁受影响系统，并加强安全防护，同时向相关当局报告并提起司法投诉，以期彻查事件真相。

攻击事件的具体过程始于7月底，当时Orange Belgium的内部监控机制察觉到异常活动，经过初步调查，他们确认一名黑客通过未授权方式入侵了一个包含客户数据的IT系统。尽管攻击的具体技术手段和所利用的漏洞尚未公开披露，但分析显示，黑客可能利用了系统中的某种弱点实现了访问权限的突破。他们在技术分析过程中，首先隔离了受感染系统，以防止进一步扩散。随后，安全团队对系统日志和访问记录进行了深入审查，确认了数据泄露的范围和类型。这一分析过程涉及对网络流量、入侵痕迹以及潜在恶意代码的扫描，虽然细节未对外透露，但公司表示已基于分析结果优化了安全协议，包括强化访问控制和监控机制，以防范类似攻击的再次发生。

在数据泄露方面，黑客疑似获取了包括姓名、电话号码、SIM卡号、PUK码（一种8位数字的安全码，用于在PIN码输入错误多次后解锁SIM卡）以及资费计划等信息。Orange Belgium特别指出，没有密码、电子邮箱地址、银行或财务细节等高风险数据被窃取，这在一定程度上降低了潜在危害。然而，这些泄露数据仍可能被用于针对性诈骗，如通过电话或短信进行钓鱼攻击。为此，他们已通过电子邮件和短信通知受影响客户，并设立专用网页（https://www.orange.be/nl/belangrijke-informatie）提醒用户提高警惕，避免点击可疑链接或提供额外个人信息。

事件曝光后，Orange Belgium强调其响应迅速且果断，不仅立即阻断了黑客的访问路径，还与司法当局合作展开调查。同时，公司母公司Orange Group于7月25日也报告过一起内部系统遭受攻击的事件，当时未发现客户数据被提取，但目前尚不清楚两起事件是否有关联。Orange Belgium的发言人表示：“没有关键数据被泄露：没有密码、邮箱地址、银行或财务细节被黑客窃取。”但同时承认：“黑客已访问了我们的一个IT系统，其中包含姓名、电话号码、SIM卡号、PUK码和资费计划等数据。”这一声明旨在安抚客户，但也凸显了电信行业面临日益严峻的网络安全挑战。

参考链接：

https://therecord.media/belgian-telecom-says-cyberattack-compromised-data-on-850000

安联人寿约有110万客户敏感数据泄露

美国安联人寿保险公司（Allianz Life Insurance Company of North America）近期确认发生一起重大数据泄露事件，约110万名客户的个人敏感信息遭黑客窃取。据数据泄露通知平台“Have I Been Pwned”披露，此次事件的源头是攻击者非法入侵了安联人寿用于存储客户关系数据的云数据库，导致客户姓名、性别、出生日期、电子邮箱、家庭住址、电话号码等敏感信息外泄，部分客户的社会安全号码也不幸被窃取。

经初步调查发现，一名叫ShinyHunters的黑客利用一个此前未被发现的零日漏洞，通过一款面向互联网的应用程序侵入了公司托管在Salesforce云平台的客户关系数据库系统。成功利用该漏洞后，攻击者并未采用传统的恶意软件或勒索软件，而是巧妙借助系统内置的管理工具和合法程序提升访问权限。这种 “就地取材”（Living Off the Land）的高级攻击手法，使其能够在网络内部顺利横向移动，同时规避了常规安全检测。攻击者的最终目的明确指向数据窃取，其活动持续近一周，期间访问并外泄了大量数据。

安联人寿在事件发生后展开深入的数字取证与事件响应分析。结果显示，被窃取数据文件包含的个人信息范围极广，受影响主体不仅包括公司现有客户，还可能涉及曾通过安联人寿网站申请保险产品或服务的潜在客户。此次泄露的信息类型十分详尽，涵盖个人身份信息（PII）的核心要素，如姓名、完整的社会保险号码、出生日期、财务账户信息、电子邮件地址和电话号码，此外，与客户保险保单相关的具体信息，像保单号码、承保范围及福利详情等也在泄露之列。

目前，安联人寿已启动对受影响个人的通知工作，通过电子邮件或传统邮件方式逐一告知，并承诺为他们提供为期两年的免费信用监控和身份盗窃保护服务，以降低潜在危害。公司同时强调，其核心的保险、年金合约管理及支付系统未受此次事件影响，所有业务均正常运营。

参考链接：

https://techcrunch.com/2025/08/18/allianz-life-data-breach-affects-1-1-million-customers/

PipeMagic恶意后门软件演变及技术分析

一款名为PipeMagic的后门恶意软件自2022年首次曝光以来，便持续威胁全球多个地区的组织机构。2025年，这一后门软件再度活跃，针对巴西和中东地区的目标发起攻击，攻击者通过巧妙的战术演变展示了更高的隐蔽性和持久性。Kaspersky与BI.ZONE安全团队的联合调查揭示了这一事件的完整脉络，从最初的发现到技术细节的剖析，凸显了网络攻击者如何适应防御措施，不断升级其攻击链条。

PipeMagic最早于2022年12月被发现，当时它与RansomExx勒索软件活动密切相关，主要针对东南亚的工业企业。攻击者利用CVE-2017-0144漏洞进行初始渗透，并通过一个伪装成Rufus实用工具的木马加载器注入恶意负载。这一事件标志着PipeMagic作为一款高度模块化的后门工具的首次亮相，它能够创建命名管道进行通信，并在受害系统上建立持久连接。进入2024年9月，该后门在中东地区重新现身，使用相同的2022版本，但攻击向量转向社会工程学，伪装成ChatGPT客户端应用程序。这个用Rust语言编写的假应用基于Tauri和Tokio框架，运行时仅显示空白界面，同时提取AES加密的负载，进一步扩展了攻击范围。到2025年，PipeMagic的感染事件在巴西和中东被成功阻断，但调查显示攻击者已升级工具链，包括使用Microsoft Help索引文件（metafile.mshi）作为加载器、另一个ChatGPT伪客户端，以及通过DLL劫持技术利用googleupdate.dll。这些攻击针对性利用了2025年4月微软修补的CVE-2025-29824漏洞，这也展示了攻击者对零日漏洞的快速利用能力。

研究人员对CVE-2025-29824进行了深入逆向工程，同时剖析了PipeMagic的演变路径。技术分析过程从加载器的逆向开始，这些加载器采用AES和RC4加密算法保护负载，并使用FNV-1a哈希函数动态解析API地址，以规避静态检测。负载解密后，通过WinAPI函数和命名管道用于命令与控制通信。攻击者利用Microsoft Azure托管的域名做下载模块，进一步增强了后门的灵活性。在后渗透阶段，攻击者使用重命名为的ProcDump工具转储LSASS进程内存，提取凭证以实现横向移动。同时，2025年版本引入了新插件，包括异步通信模块、注入负载的加载器，以及针对.NET应用的注入器，这些插件大多为32位可执行文件，但加载器中包含一个64位负载，以适应不同系统架构。为提升隐蔽性，攻击者还修补了AMSI函数，绕过反恶意软件接口的扫描，并利用合法系统进程如msbuild.exe执行代码。

PipeMagic后门软件的持久机制依赖于命名管道的创建，确保即使系统重启也能维持连接，同时通过注入和模块化设计避免单一检测点。通过调查确认了这些攻击与先前事件的相关性，通过共享的基础设施如Azure域名追溯到相同的攻击源。尽管尚未明确归因于特定威胁组织，但其战术变化反映了网络犯罪的成熟化趋势，从早期依赖已知漏洞转向结合社会工程和零日利用的混合模式。

参考链接：

https://securelist.com/pipemagic/117270/

新型Charon勒索软件针对中东地区发动定向攻击

近日，网络安全研究机构趋势科技（Trend Micro）监测到一个名为Charon的新型勒索软件家族，该家族采用高级持续威胁（APT）风格的攻击技术，专门针对中东地区的公共部门及航空业组织发动攻击，并提出定制化的赎金要求。这一攻击事件凸显了勒索软件与APT战术日益融合的趋势，其复杂的攻击链和先进的技术手段对目标机构的运营连续性和数据安全构成严重威胁。

研究人员通过技术分析发现，Charon勒索软件的攻击流程是经过精心设计，极具隐蔽性。攻击始于一个看似合法的浏览器相关可执行文件Edge.exe，攻击者利用该文件实现恶意DLL（名为msedge.dll，又称SWORDLDR）的侧载（DLL sideloading）。这种技术是APT攻击的典型特征，通过伪装成合法进程，能够绕过常规的安全控制机制。随后，该恶意DLL会从名为DumpStack.log的文件中解密并加载一段加密的shellcode，这段shellcode解密后即释放出Charon勒索软件的有效载荷，这也是该勒索软件首次在野外被记录到的踪迹。

在执行阶段，Charon勒索软件展现出强大的规避能力。它会将自身载荷注入新启动的svchost.exe进程，这是Windows系统中一个常见的服务进程，借助这一进程注入技术，恶意软件得以伪装成合法系统活动，从而躲避端点检测与响应（EDR）解决方案的监测。不仅如此，Charon勒索软件还具备反EDR能力，其使用的一个驱动程序源自公开的Dark-Kill项目，该驱动旨在禁用安全防护解决方案，以最大化攻击效果。

在进行文件加密前，Charon勒索软件会执行一系列破坏性操作以阻碍受害者的恢复。它会终止与安全相关的服务和进程，删除所有卷影副本以防止数据还原，并清空回收站以清除近期删除的文件。做好这些准备后，勒索软件利用多线程技术，根据系统的处理器核心数量创建加密线程，对本地及网络驱动器上的文件进行快速加密，加密后的文件会被添加“.Charon”扩展名。

加密过程中，Charon勒索软件采用混合加密方案，安全性极高。它利用Windows的加密函数生成一个32字节的随机私钥，该私钥采用Curve25519椭圆曲线密码体制格式。随后，这个私钥与一个硬编码的公钥结合，生成一个共享密钥，再通过自定义哈希函数处理后，用于初始化经过修改的ChaCha20流密码。每个加密文件都包含一个72字节的尾部，其中包含受害者的公钥和元数据，只有拥有对应的私钥才能完成解密。

值得注意的是，Charon勒索软件的攻击技术与已知的APT组织Earth Baxia的活动存在技术相似性，例如两者都使用DLL侧载和加密shellcode交付等工具链。不过，由于尚未发现共享的基础设施或一致的攻击目标模式，目前尚不能确认Charon勒索软件与Earth Baxia存在关联。但无论如何，这种APT战术与勒索软件操作的融合，反映出网络犯罪分子正越来越多地采用高级技术来扩大攻击影响。

参考链接：

https://blog.polyswarm.io/charon-ransomware-targets-middle-east