Un nou grup de atacatori, asociați cu Rusia și denumiți „Curly COMrades” de către experți în securitate cibernetică, vizează instituții guvernamentale și companii strategice din Georgia și Moldova.
Printre organizațiile vizate se numără instituții judiciare și guvernamentale, precum și companii din domeniul distribuției energetice.
Scopul principal al grupării este menținerea accesului pe termen lung în rețelele compromise, pentru a fura date și credențiale sensibile.
Experții de la Bitdefender afirmă că monitorizează grupul „Curly COMrades” începând cu jumătatea anului 2024 și au identificat utilizarea unui malware personalizat, denumit MucorAgent.
Rolul acestui malware este executarea de comenzi și transmiterea de date prin canale ascunse, imitând procese legitime ale sistemului. Analiza Bitdefender evidențiază că MucorAgent reprezintă un backdoor în trei etape, scris în .NET. Acesta exploatează o funcție legitimă a Windows prin hijacking de CLSID și se reactivează aleatoriu pentru a menține persistența pe sistem.
Mecanismul de persistență utilizează NGEN (Native Image Generator) – o componentă implicită a .NET Framework, destinată precompilării ansamblurilor, care poate asigura persistența printr-un task programat aparent inactiv.
Deși taskul este dezactivat, sistemul de operare îl poate activa și executa aleatoriu, în perioadele de inactivitate sau la lansarea unor aplicații noi, explică Bitdefender.
Pentru a ascunde traficul malign și a îngreuna detecția, Curly COMrades utilizează site-uri legitime, dar compromise, prin care exfiltrează datele și stabilesc comunicarea dintre centrul de comandă și sistemele victimă. Astfel, traficul atacatorilor se amestecă cu cel legitim, reducând șansele de identificare.
Conform specialiștilor, atacatorii exploatează atât instrumente disponibile publicului, cât și utilitare dedicate, pentru a colecta parole și alte date sensibile. În ciuda complexității și a persistenței lor, metodele utilizate nu sunt neapărat noi, însă sunt combinate într-un mod eficient, care le permite să rămână nedetectați pentru perioade îndelungate.
Campania analizată a scos la lumină un actor extrem de persistent și adaptabil, care folosește o gamă largă de tehnici cunoscute și personalizate pentru a stabili și menține accesul pe termen lung în mediile vizate.
Atacatorii s-au bazat în mare măsură pe instrumente open-source, proiecte disponibile publicului și pe așa-numitele LOLBins (living-off-the-land binaries), demonstrând o preferință pentru ascundere, flexibilitate și vizibilitate minimă, mai degrabă decât pentru exploatarea unor vulnerabilități noi.
Investigația a relevat goluri semnificative în materie de securitate, organizațiile neputând adesea detecta sau răspunde eficient la „zgomotul” generat de actori sofisticați ai amenințărilor cibernetice. Această situație este cauzată, de regulă, fie de lipsa senzorilor EDR/XDR moderni, care creează un unghi mort în fața unor atacuri, fie de absența unor operațiuni de securitate dedicate, capabile să gestioneze alertele.
Această dublă deficiență, atât în ceea ce privește tehnologia, cât și în ceea ce privește pregătirea operațională, permite ca incidentele de securitate inevitabile să se transforme în încălcări majore ale securității, care ar putea fi prevenite.
