Mit Russland verbundene Curly COMrades setzen MucorAgent-Malware in Europa ein
Ein neuer Bericht von Bitdefender enthüllt, dass die mit Russland verbundene Hackergruppe Curly COMrades mit einer neuen Hintertür namens MucorAgent Osteuropa ins Visier nimmt. Erfahren Sie, wie sie mit fortschrittlichen Taktiken Daten stehlen.
Cybersicherheitsforscher bei Bitdefender haben eine neue Hackergruppe mit Verbindungen nach Russland identifiziert. Die Gruppe mit dem Namen Curly COMrades nimmt gezielt Länder in Osteuropa ins Visier, in denen geopolitische Spannungen herrschen.
Laut einer Untersuchung von Bitdefender, die Hackread.com vor ihrer Veröffentlichung zur Verfügung gestellt wurde, begannen die Angriffe Mitte 2024. Zu den Zielen der Gruppe zählen Regierungsbehörden und ein Energieversorgungsunternehmen in Osteuropa, insbesondere in Georgien und Moldawien, wo die geopolitischen Spannungen hoch sind. Das Hauptziel dieser Hacker ist es, ihre Ziele auszuspionieren und sensible Informationen zu stehlen.
Die Curly COMrades nutzen fortschrittliche Techniken, um sich zu verstecken und langfristig Zugriff auf die Computernetzwerke ihrer Opfer zu erhalten. Eines ihrer wichtigsten Werkzeuge ist eine neuartige Backdoor namens MucorAgent. Besonders clever ist die Art und Weise, wie diese Schadsoftware auf dem Computer verbleibt. Die Hacker haben einen Weg gefunden, eine integrierte Windows-Komponente namens NGEN zu kapern, die normalerweise dazu beiträgt, Anwendungen schneller laufen zu lassen.
Durch die Ausnutzung einer inaktiven geplanten Aufgabe innerhalb von NGEN können Hacker ihre Schadsoftware zu beliebigen Zeitpunkten heimlich reaktivieren, beispielsweise wenn der Computer im Leerlauf ist oder ein neues Programm installiert wird. Diese unvorhersehbare Methode erschwert es Sicherheitsteams erheblich, die Bedrohung zu erkennen und zu beseitigen. Forscher stellten fest, dass diese Technik, die CLSID-Hijacking in Verbindung mit NGEN nutzt, „unseren Beobachtungen zufolge beispiellos“ sei.
Die Gruppe nutzt außerdem spezielle Proxy-Tools wie Resocks und Stunnel sowie andere Methoden wie Mimikatz und DCSync, um Passwörter und andere Anmeldeinformationen zu stehlen. Mit dieser Taktik können sie sich in die normale Internetaktivität einfügen und viele Sicherheitssysteme umgehen.
Curly COMrades verschaffen sich Zugriff auf ein Computernetzwerk, richten mithilfe von Tools wie Resocks und Stunnel einen geheimen Pfad ein und installieren die Schadsoftware MucorAgent. Diese Schadsoftware trickst NGEN aus, kapert eine versteckte Aufgabe und erscheint auch nach der Deinstallation wieder. Hacker nutzen kompromittierte Websites als Köder, um die gestohlenen Informationen an ihre Server zurückzuschicken, was eine Rückverfolgung erschwert.
In seinem technischen Bericht erklärte Bitdefender, der Name der Gruppe, Curly COMrades, stamme von der intensiven Nutzung des Tools „curl.exe“ durch die Hacker und ihrem Fokus auf die Entführung von COM- Objekten. Die Forscher wählten diesen Namen, um Bedrohungsakteuren „coole“ oder „ausgefallene“ Namen zu vermeiden, wie sie derzeit in der Cybersicherheits-Community im Trend liegen. Sie argumentieren, dass dies sie unbeabsichtigt glorifizieren könnte. Sie glauben, dass sie durch die Wahl eines weniger schmeichelhaften Namens „Cyberkriminalität entglamourisieren und jeglichen Eindruck von Raffinesse oder Mystik beseitigen“ können.
HackRead
