Curly COMrades met Russische banden verspreiden MucorAgent-malware in Europa

Een nieuw rapport van Bitdefender onthult dat de aan Rusland gelieerde hackersgroep Curly COMrades Oost-Europa aanvalt met een nieuwe backdoor genaamd MucorAgent. Ontdek hoe ze geavanceerde tactieken gebruiken om gegevens te stelen.

Cybersecurityonderzoekers van Bitdefender hebben een nieuwe hackersgroep met banden met Rusland geïdentificeerd. De groep, genaamd Curly COMrades, richt zich actief op landen in Oost-Europa die te kampen hebben met geopolitieke spanningen.

Volgens het onderzoek van Bitdefender, dat vóór publicatie met Hackread.com werd gedeeld, begonnen de aanvallen medio 2024. De groep richt zich onder meer op overheidsinstanties en een energiedistributiebedrijf in Oost-Europa, met name in Georgië en Moldavië, waar de geopolitieke spanningen hoog oplopen. Het belangrijkste doel van deze hackers is om hun doelwitten te bespioneren en gevoelige informatie te stelen.

De Curly COMrades gebruiken geavanceerde technieken om verborgen te blijven en langdurig toegang te behouden tot de computernetwerken van hun slachtoffers. Een van hun belangrijkste tools is een nieuw type backdoor genaamd MucorAgent. Wat deze malware bijzonder slim maakt, is hoe hij op een computer blijft. De hackers hebben een manier gevonden om een ingebouwde Windows-component genaamd NGEN te kapen, die normaal gesproken applicaties sneller laat werken.

Door misbruik te maken van een inactieve geplande taak binnen NGEN, kunnen hackers hun malware op willekeurige momenten in het geheim reactiveren, bijvoorbeeld wanneer de computer inactief is of een nieuw programma wordt geïnstalleerd. Deze onvoorspelbare methode maakt het voor beveiligingsteams veel moeilijker om de dreiging te detecteren en te verwijderen. Onderzoekers merkten op dat deze techniek, die gebruikmaakt van CLSID-kaping in combinatie met NGEN, "ongekend is in onze observaties".

De groep gebruikt ook gespecialiseerde proxytools zoals Resocks en Stunnel, en andere methoden zoals Mimikatz en DCSync, om wachtwoorden en andere inloggegevens te stelen. Deze tactiek helpt hen om zich te mengen in de normale internetactiviteit en veel beveiligingssystemen te omzeilen.

Wat er dus gebeurt, is dat Curly COMrades toegang krijgen tot een computernetwerk, een geheime route opzetten met tools zoals Resocks en Stunnel, en MucorAgent-malware installeren. Deze malware misleidt NGEN, kaapt een verborgen taak en verschijnt zelfs na verwijdering opnieuw. Hackers gebruiken gecompromitteerde websites als lokaas om de gestolen informatie terug te sturen naar hun servers, waardoor deze moeilijk te traceren is.

In hun technisch rapport legde Bitdefender uit dat de naam van de groep, Curly COMrades, voortkomt uit het intensieve gebruik van de tool "curl.exe" door de hackers en hun focus op het kapen van COM- objecten. Onderzoekers kozen de naam om te voorkomen dat cyberactoren "coole" of "chique" namen zouden krijgen, zoals de huidige trend is binnen de cybersecuritygemeenschap. Ze stellen dat dit hen onbedoeld zou kunnen verheerlijken. Ze geloven dat ze door een minder vleiende naam te kiezen "cybercriminaliteit kunnen ontdoen van de glamour en elke indruk van verfijning of mystiek kunnen wegnemen."