Кудрявые товарищи, связанные с Россией, внедряют вредоносное ПО MucorAgent в Европе

Новый отчёт Bitdefender раскрывает, что связанная с Россией хакерская группа Curly COMrades атакует Восточную Европу с помощью нового бэкдора MucorAgent. Узнайте, как они используют продвинутые методы кражи данных.

Исследователи кибербезопасности Bitdefender обнаружили новую хакерскую группу, связанную с Россией . Группа, получившая название Curly COMrades, активно атакует страны Восточной Европы, где наблюдается геополитическая напряжённость.

Согласно расследованию Bitdefender, предоставленному Hackread.com перед публикацией, атаки начались в середине 2024 года. Целями группировки являются государственные органы и энергораспределительная компания в Восточной Европе, в частности, в Грузии и Молдове, где геополитическая напряжённость высока. Главная цель этих хакеров — шпионить за жертвами и красть конфиденциальную информацию.

Вредоносная программа Curly COMrades использует передовые методы, чтобы оставаться незамеченной и сохранять долгосрочный доступ к компьютерным сетям своих жертв. Одним из их ключевых инструментов является новый тип бэкдора MucorAgent. Особенность этой вредоносной программы заключается в её способности оставаться на компьютере. Хакеры нашли способ взломать встроенный компонент Windows NGEN, который обычно ускоряет работу приложений.

Используя неактивную запланированную задачу в NGEN, хакеры могут тайно повторно активировать своё вредоносное ПО в случайные моменты времени, например, когда компьютер простаивает или устанавливается новая программа. Этот непредсказуемый метод значительно затрудняет обнаружение и устранение угрозы службами безопасности. Исследователи отметили, что данная техника, использующая перехват CLSID в сочетании с NGEN, «беспрецедентна по нашим наблюдениям».

Группа также использует специализированные прокси-инструменты, такие как Resocks и Stunnel, а также другие методы, такие как Mimikatz и DCSync, для кражи паролей и других учётных данных. Эта тактика позволяет им скрываться за обычными интернет-активностями, обходя множество систем безопасности.

Итак, происходит следующее: Curly COMrades получают доступ к компьютерной сети, прокладывают секретный путь с помощью таких инструментов, как Resocks и Stunnel, и устанавливают вредоносное ПО MucorAgent. Это ПО обманывает NGEN, перехватывая скрытую задачу и появляясь снова даже после удаления. Хакеры используют взломанные веб-сайты в качестве приманки для отправки украденной информации обратно на свои серверы, что затрудняет отслеживание.

В своём техническом отчёте Bitdefender пояснил, что название группы Curly COMrades связано с активным использованием хакерами инструмента «curl.exe» и их специализацией на перехвате COM- объектов. Исследователи выбрали это название, чтобы избежать давать злоумышленникам «крутые» или «причудливые» имена, что является современной тенденцией в сообществе кибербезопасности, утверждая, что это может непреднамеренно возвеличить их. Они считают, что, выбрав менее лестное название, они смогут «дегламуризировать киберпреступность, лишив её всякого ощущения изысканности или таинственности».