Image by DC Studio, from Freepik
Новая хакерская группа обнаружена на легитимных веб-сайтах
Время для прочтения: 2 мин.
Последние обновления: Aug 14, 2025
-
![Киара Фаббри]()
-
![Команда локализации и перевода]()
Перевод выполнен Команда локализации и перевода Услуги локализации и перевода
«Curly COMrades» — хакерская группа, использующая передовые методы шпионажа, нацеливается на правительства и энергетические компании Восточной Европы.
Спешите? Вот краткий обзор фактов:
- Хакеры крадут пароли, чтобы продолжать взламывать системы.
- Они используют специальный «задний вход», чтобы оставаться незаметными на компьютерах.
- Украденные данные отправляются через реальные, но взломанные сайты.
Лаборатория Bitdefender определила новую хакерскую группу, «Curly COMrades», которую считают действующей в поддержку российских интересов и нацеленной на страны, переживающие политические изменения. С середины 2024 года группа атаковала судебные и государственные органы в Грузии и энергетическую компанию в Молдове.
Основная цель хакеров — «поддерживать долгосрочный доступ к целевым сетям и красть действительные учетные данные». Они неоднократно пытались извлечь базу данных NTDS, которая хранит пароли пользователей Windows, и выгрузить память LSASS для восстановления данных входа, возможно, в открытом виде.
Операция «Curly COMrades» зависит от создания надежных точек доступа с помощью инструментов Resocks, SSH и Stunnel. Атакующие используют MucorAgent в качестве своего персонального «заднего прохода», который скрывает их доступ, захватывая идентификаторы CLSIDs генератора родных изображений Windows .NET. Непредсказуемый характер этого метода поддержания связи затрудняет его обнаружение.
Атакующие скрывают свои операции, отправляя украденные данные и удаленные команды через скомпрометированные легитимные веб-сайты, смешивая вредоносный трафик с типичной сетевой активностью. Bitdefender говорит: «очень вероятно, что то, что мы наблюдали, это лишь малая часть гораздо большей сети скомпрометированной веб-инфраструктуры, которой они управляют».
Отсутствие достаточных доказательств заставило Bitdefender воздержаться от привязки группы к каким-либо известным хакерским организациям. Исследователи придумали новое название на основе технических индикаторов, включая использование ‘curl.exe’ и захват ‘COM объекта’, чтобы избежать гламурезации деятельности в области киберпреступности.
Расследование началось после того, как активность прокси-программного обеспечения вызвала подозрения, что привело к обнаружению большей шпионской операции. Исследователи считают эту группу серьезной угрозой для целей высокой политической и инфраструктурной ценности, учитывая их тактику и упорство.
Предыдущая история
Последние статьи 
