새로운 해커 그룹, 정당한 웹사이트에 숨어 발견되다

“Curly COMrades”라는 이름의 해커 그룹이 고급 스파이 전략을 사용하여 동유럽의 정부와 에너지 회사를 표적으로 삼고 있습니다.

Bitdefender Labs에서는 “Curly COMrades”라는 새로운 해커 그룹을 발견했습니다. 이 그룹은 러시아의 이익을 지원하며, 정치적 변화를 겪고 있는 국가들을 대상으로 합니다. 2024년 중반부터 이 그룹은 조지아의 사법 및 정부 기관과 몰도바의 에너지 회사를 공격했습니다.

해커들의 주요 목표는 “대상 네트워크에 장기간 접속을 유지하고 유효한 인증 정보를 훔치는 것”입니다. 그들은 계속해서 Windows 사용자 비밀번호를 저장하는 NTDS 데이터베이스를 추출하려고 시도하였으며, LSASS 메모리를 덤프하여 로그인 세부 정보를 복구하려고 하였습니다. 이는 아마도 일반 텍스트로 가능할 것입니다.

“Curly COMrades” 작업은 Resocks, SSH, 그리고 Stunnel 도구를 통해 견고한 접근 지점을 설정하는 것에 의존합니다. 공격자들은 그들의 커스텀 백도어로 MucorAgent를 사용하여, Windows .NET Native Image Generator CLSIDs를 납치하여 그들의 접근을 숨깁니다. 이 지속성 방법의 예측 불가능한 특성 때문에 이를 탐지하기가 어렵습니다.

공격자들은 도난당한 데이터와 원격 명령을 손상된 정당한 웹사이트를 통해 보내며, 악성 트래픽을 일반적인 네트워크 활동과 섞어서 자신들의 작업을 숨깁니다. Bitdefender는 “우리가 관찰한 것이 그들이 통제하고 있는 훨씬 더 큰 규모의 손상된 웹 인프라의 일부일 가능성이 매우 높다”고 말합니다.

충분한 증거의 부재로 인해 Bitdefender는 이 그룹을 어떤 알려진 해킹 조직과도 연결시키지 않기로 결정했습니다. 연구자들은 ‘curl.exe’ 사용과 ‘COM object’ 유용을 포함한 기술적 지표를 기반으로 새로운 이름을 만들어, 사이버 범죄 활동을 화려하게 만들지 않기 위해 노력했습니다.

조사는 프록시 소프트웨어 활동이 의심을 불러일으키며, 이로 인해 더 큰 스파이 작전이 발견되었습니다. 연구자들은 이 그룹의 전략과 지속성을 고려하면 고가치 정치적 목표와 인프라 목표에 대한 주요한 위협으로 간주합니다.