I Curly COMrades, legati alla Russia, distribuiscono il malware MucorAgent in Europa
Un nuovo report di Bitdefender rivela che il gruppo di hacker Curly COMrades, legato alla Russia, sta prendendo di mira l'Europa orientale con una nuova backdoor chiamata MucorAgent. Scopri come stanno utilizzando tattiche avanzate per rubare dati.
Un nuovo gruppo di hacker con legami con la Russia è stato identificato dai ricercatori di sicurezza informatica di Bitdefender. Il gruppo, denominato Curly COMrades, sta prendendo di mira attivamente i paesi dell'Europa orientale che stanno attraversando tensioni geopolitiche.
Secondo l'indagine di Bitdefender, condivisa con Hackread.com prima della sua pubblicazione, gli attacchi sono iniziati a metà del 2024. Tra gli obiettivi del gruppo figurano enti governativi e un'azienda di distribuzione energetica nell'Europa orientale, in particolare in Georgia e Moldavia, dove le tensioni geopolitiche sono elevate. L'obiettivo principale di questi hacker è spiare i loro obiettivi e rubare informazioni sensibili.
Curly COMrades utilizza tecniche avanzate per rimanere nascosto e mantenere l'accesso a lungo termine alle reti informatiche delle sue vittime. Uno dei loro strumenti chiave è un nuovo tipo di backdoor chiamato MucorAgent. Ciò che rende questo malware particolarmente ingegnoso è il modo in cui rimane sul computer. Gli hacker hanno trovato un modo per dirottare un componente integrato di Windows chiamato NGEN, che normalmente aiuta a velocizzare l'esecuzione delle applicazioni.
Sfruttando un'attività pianificata e inattiva all'interno di NGEN, gli hacker possono riattivare segretamente il loro malware in momenti casuali, ad esempio quando il computer è inattivo o viene installato un nuovo programma. Questo metodo imprevedibile rende molto più difficile per i team di sicurezza rilevare e rimuovere la minaccia. I ricercatori hanno osservato che questa tecnica, che sfrutta il dirottamento del CLSID in combinazione con NGEN, è "senza precedenti nelle nostre osservazioni".
Il gruppo utilizza anche strumenti proxy specializzati come Resocks e Stunnel, oltre ad altri metodi come Mimikatz e DCSync, per rubare password e altre credenziali. Questa tattica li aiuta a mimetizzarsi nella normale attività online, aggirando molti sistemi di sicurezza.
Quindi, quello che succede è che i Curly COMrades ottengono l'accesso a una rete di computer, creano un percorso segreto utilizzando strumenti come Resocks e Stunnel e installano il malware MucorAgent. Questo malware inganna NGEN, dirottando un'attività nascosta e riapparendo anche dopo la rimozione. Gli hacker utilizzano siti web compromessi come esche per inviare le informazioni rubate ai loro server, rendendo difficile la tracciabilità.
Nel suo rapporto tecnico, Bitdefender ha spiegato che il nome del gruppo, Curly COMrades, deriva dall'uso intensivo da parte degli hacker dello strumento "curl.exe" e dalla loro attenzione al dirottamento di oggetti COM . I ricercatori hanno scelto questo nome per evitare di attribuire agli autori delle minacce nomi "cool" o "di fantasia", come è la tendenza attuale nella comunità della sicurezza informatica, sostenendo che ciò potrebbe inavvertitamente glorificarli. Ritengono che scegliendo un nome meno lusinghiero, possano "sminuire la criminalità informatica, eliminando qualsiasi percezione di sofisticatezza o mistero".
HackRead
