はじめに
2025年、Bitdefender によって発見された新型バックドア型マルウェア MucorAgent が話題になっています。
これはロシア系の APT グループ「Curly COMrades」によって使用され、グルジア政府・モルドバのエネルギー企業 などに侵入した事例が確認されています。
本記事では、MucorAgent の特徴・検知方法・防御策 を整理します。
攻撃概要
-
マルウェア名: MucorAgent
-
プラットフォーム: .NET
-
攻撃者: Curly COMrades(新興APTグループ)
-
標的: 政府機関、エネルギー業界、司法機関など
-
初確認: 2023年11月(2024年中期から継続観測)
攻撃フロー図
技術的特徴
(1) 三段階 .NET 構造
-
AES暗号化された PowerShell スクリプトをロード
-
System.Management.Automation を利用し、powershell.exe を直接呼ばずに実行
-
AV/EDR を回避する仕組みを持つ
(2) 独自の永続化手法
-
NGEN (Native Image Generator) のタスクをハイジャック
-
Windows の CLSID を改ざんし、タスク実行時にマルウェアが復元
(3) 通信方法
-
curl.exe(または偽装版)、独自ツール CurlCat を利用
-
データを AES + GZIP で暗号化 → .jpg/.png に偽装して送信
(4) 横展開と情報窃取
-
NTDS.DIT(AD データベース)、LSASS メモリ から資格情報を窃取
-
Remote Utilities (RuRat) を導入して持続的アクセス
多層防御モデル(可視化)
4. 検知ポイント
(1) NGEN タスクの不審な変更
schtasks /query /fo LIST /v | findstr /i ngen
- ngen 関連タスクに未知の DLL や実行ファイルが紐付けられていないか確認
(2) PowerShell DLL の不審ロード
-
Sysmon Event ID 7: System.Management.Automation.dll を非標準プロセスがロード
-
Sysmon Event ID 1: rundll32.exe から PowerShell 呼び出し
(3) 通信異常
-
curl.exe の過剰利用
-
.jpg/.png と偽装したアップロード通信
-
非正規サイトへの HTTPS POST 通信
(4) 資格情報窃取の兆候
-
Sysmon Event ID 10: lsass.exe への不審アクセス
-
AD サーバー上の NTDS.DIT ファイルアクセス
防御策
| 領域 | 推奨策 |
|---|---|
| 永続化対策 | NGEN タスクのベースライン監視、CLSID レジストリ監査 |
| PowerShell 防御 | Constrained Language Mode、AMSI 有効化 |
| 通信対策 | curl.exe 実行制限、TLS インスペクション、出口通信ホワイトリスト |
| 資格情報防御 | LSASS 保護 (RunAsPPL 有効化)、LAPS 導入 |
| 運用 | Sysmon + EDR 導入、IOC フィード取り込み |
まとめ
MucorAgent は NGEN ハイジャック・PowerShell DLL 実行・curl.exe 偽装通信 など従来の防御を回避する仕組みを持つため、多層的なセキュリティ対策 が不可欠です。
本記事で紹介した 検知ポイント・IOC・防御策 を SOC 運用に組み込むことで、早期発見と封じ込めが可能になります。