Image by DC Studio, from Freepik
Nowa Grupa Hakerów Odkryta na Legalnych Stronach Internetowych
Przeczytasz w: 2 min
Ostatnia aktualizacja: Aug 14, 2025
-
![Kiara Fabbri]()
-
![Zespół ds. lokalizacji i tłumaczenia]()
Tłumaczenie Zespół ds. lokalizacji i tłumaczenia Usługi związane z tłumaczeniem i lokalizacją treści
„Curly COMrades”, grupa hakerów stosujących zaawansowane techniki szpiegowskie, ma na celu rządy i firmy energetyczne w Europie Wschodniej.
Spiesza Ci się? Oto najważniejsze fakty:
- Hakerzy kradną hasła, aby ciągle włamywać się do systemów.
- Używają specjalnego tylnego wejścia, aby pozostać ukrytymi na komputerach.
- Skradzione dane są wysyłane za pośrednictwem prawdziwych, ale zhakowanych stron internetowych.
Bitdefender Labs zidentyfikowało nową grupę hakerów, „Curly COMrades”, która prawdopodobnie działa na rzecz rosyjskich interesów i atakuje narody przechodzące zmiany polityczne. Od połowy 2024 roku grupa ta atakowała organy sądownicze i rządowe w Gruzji oraz firmę energetyczną w Mołdawii.
Głównym celem hakerów jest „utrzymanie długoterminowego dostępu do sieci docelowych i kradzież prawidłowych danych uwierzytelniających”. Wielokrotnie próbowali wydobyć bazę danych NTDS, która przechowuje hasła użytkowników Windowsa, i opróżnić pamięć LSASS, aby odzyskać dane logowania, prawdopodobnie w postaci zwykłego tekstu.
Operacja „Curly COMrades” polega na ustanowieniu solidnych punktów dostępu za pomocą narzędzi Resocks, SSH i Stunnel. Napastnicy używają MucorAgent jako swojego niestandardowego backdooru, który ukrywa ich dostęp, przejmując CLSID generatora natywnych obrazów .NET Windows. Nieprzewidywalny charakter tej metody utrzymania dostępu sprawia, że jest trudna do wykrycia.
Napastnicy ukrywają swoje działania, wysyłając skradzione dane i zdalne polecenia za pośrednictwem skompromitowanych, legalnych stron internetowych, mieszając złośliwy ruch z typową aktywnością sieciową. Bitdefender twierdzi, że „bardzo prawdopodobne jest, że to co zaobserwowaliśmy, to tylko niewielka część znacznie większej sieci skompromitowanej infrastruktury internetowej, którą kontrolują”.
Brak wystarczających dowodów spowodował, że Bitdefender unikał powiązania grupy z jakąkolwiek znaną organizacją hakerską. Badacze stworzyli nową nazwę na podstawie wskaźników technicznych, w tym użycia ‚curl.exe’ i ‚COM object’ hijacking, aby unikać gloryfikacji działań związanych z cyberprzestępczością.
Śledztwo rozpoczęło się po tym, jak aktywność oprogramowania proxy wzbudziła podejrzenia, które doprowadziły do odkrycia większej operacji szpiegowskiej. Badacze uważają tę grupę za poważne zagrożenie dla wysoko cenionych celów politycznych i infrastrukturalnych ze względu na jej taktykę i uporczywość.
Poprzedni artykuł
Najnowsze artykuły 
