Powiązani z Rosją Curly COMrades wdrażają złośliwe oprogramowanie MucorAgent w Europie

Nowy raport Bitdefender ujawnia, że powiązana z Rosją grupa hakerska Curly COMrades atakuje Europę Wschodnią nowym backdoorem o nazwie MucorAgent. Dowiedz się, jak wykorzystują zaawansowane taktyki do kradzieży danych.

Analitycy ds. cyberbezpieczeństwa z Bitdefender zidentyfikowali nową grupę hakerów powiązaną z Rosją . Grupa, nazwana Curly COMrades, aktywnie atakuje kraje Europy Wschodniej, które doświadczają napięć geopolitycznych.

Według śledztwa Bitdefender, udostępnionego portalowi Hackread.com przed jego publikacją, ataki rozpoczęły się w połowie 2024 roku. Celem grupy są instytucje rządowe i firma dystrybuująca energię w Europie Wschodniej, a konkretnie w Gruzji i Mołdawii, gdzie napięcia geopolityczne są wysokie. Głównym celem hakerów jest szpiegowanie ofiar i kradzież poufnych informacji.

Curly COMrades wykorzystuje zaawansowane techniki, aby pozostać w ukryciu i utrzymać długotrwały dostęp do sieci komputerowych swoich ofiar. Jednym z ich kluczowych narzędzi jest nowy typ backdoora o nazwie MucorAgent. To złośliwe oprogramowanie jest wyjątkowo sprytne, ponieważ potrafi pozostać na komputerze. Hakerzy znaleźli sposób na przejęcie kontroli nad wbudowanym komponentem systemu Windows o nazwie NGEN, który zazwyczaj przyspiesza działanie aplikacji.

Wykorzystując uśpione zaplanowane zadanie w NGEN, hakerzy mogą potajemnie reaktywować złośliwe oprogramowanie w losowych momentach, na przykład gdy komputer jest bezczynny lub gdy instalowany jest nowy program. Ta nieprzewidywalna metoda znacznie utrudnia zespołom ds. bezpieczeństwa wykrycie i usunięcie zagrożenia. Naukowcy zauważyli, że ta technika, wykorzystująca przechwytywanie identyfikatorów CLSID w połączeniu z NGEN, jest „bezprecedensowa w naszych obserwacjach”.

Grupa wykorzystuje również specjalistyczne narzędzia proxy, takie jak Resocks i Stunnel, a także inne metody, takie jak Mimikatz i DCSync, do kradzieży haseł i innych danych uwierzytelniających. Ta taktyka pomaga im wtopić się w normalną aktywność w internecie, omijając wiele systemów bezpieczeństwa.

W efekcie Curly COMrades uzyskują dostęp do sieci komputerowej, konfigurują tajną ścieżkę za pomocą narzędzi takich jak Resocks i Stunnel i instalują złośliwe oprogramowanie MucorAgent. To złośliwe oprogramowanie oszukuje NGEN, przejmując ukryte zadanie i pojawiając się ponownie nawet po usunięciu. Hakerzy wykorzystują zainfekowane strony internetowe jako przynętę, aby przesłać skradzione informacje z powrotem na swoje serwery, co utrudnia ich namierzenie.

W swoim raporcie technicznym Bitdefender wyjaśnił, że nazwa grupy, Curly COMrades, pochodzi od częstego używania przez hakerów narzędzia „curl.exe” i ich skupienia na przejmowaniu kontroli nad obiektami COM . Badacze wybrali tę nazwę, aby uniknąć nadawania atakującym „fajnych” lub „wymyślnych” nazw, co jest obecnie powszechnym trendem w społeczności cyberbezpieczeństwa, argumentując, że może to nieumyślnie ich gloryfikować. Uważają, że wybierając mniej pochlebną nazwę, mogą „odczarować cyberprzestępczość, pozbawiając ją poczucia wyrafinowania i tajemniczości”.