تم اكتشاف مجموعة هاكرز جديدة تختبئ في مواقع إنترنت مشروعة

“كيرلي كومرادز”، مجموعة من الهاكرز المتقدمين في تكتيكات التجسس، يستهدفون الحكومات وشركات الطاقة في شرق أوروبا.

مختبرات بيت ديفندر قد حددت مجموعة هكر جديدة، “رفاق كيرلي”، ويعتقد أنها تعمل دعماً للمصالح الروسية وتستهدف الدول التي تجري فيها تغييرات سياسية. منذ منتصف عام 2024، هاجمت المجموعة الهيئات القضائية والحكومية في جورجيا وشركة طاقة في مولدوفا.

الهدف الرئيسي للقراصنة هو “الحفاظ على الوصول لشبكات الأهداف لفترات طويلة وسرقة بيانات الاعتماد الصالحة”. حاولوا مرارًا وتكرارًا استخراج قاعدة بيانات NTDS، التي تخزن كلمات مرور مستخدمي ويندوز، وتفريغ ذاكرة LSASS لاستعادة تفاصيل تسجيل الدخول، ربما بالنص العادي.

تعتمد عملية “Curly COMrades” على إنشاء نقاط وصول قوية من خلال أدوات Resocks و SSH و Stunnel. يستخدم المهاجمون MucorAgent كباب الخلفي المخصص لهم، الذي يخفي وصولهم عن طريق اختطاف CLSIDs لمولد الصورة الأصلية لـ .NET في ويندوز. تجعل الطبيعة غير المتوقعة لهذه الطريقة المستمرة من الصعب اكتشافها.

تخفي الجهات المهاجمة عملياتها من خلال إرسال البيانات المسروقة والأوامر عن بُعد عبر مواقع ويب شرعية تم اختراقها، ممزجة بين حركة الشبكة الخبيثة والنشاط العادي. تقول Bitdefender “من المحتمل جدًا أن ما لاحظناه هو فقط جزء صغير من شبكة أكبر بكثير من البنية التحتية للويب المخترقة يتحكمون فيها.”

أدى نقص الأدلة الكافية إلى تجنب Bitdefender ربط الجماعة بأي منظمات قرصنة معروفة. أنشأ الباحثون اسمًا جديدًا استنادًا إلى المؤشرات التقنية، بما في ذلك استخدام ‘curl.exe’ واختطاف ‘كائن COM’، لتجنب تجميل أنشطة الجريمة الإلكترونية.

بدأت التحقيقات بعد أن أثارت أنشطة برامج الوكيل الشكوك، مما أدى إلى اكتشاف عملية تجسس أكبر. يعتبر الباحثون هذه المجموعة تهديدًا كبيرًا للأهداف السياسية والبنية التحتية ذات القيمة العالية نظرًا لتكتيكاتها وإصرارها.