Bitdefender a identifié un nouveau groupe de hackers pro-russes. Baptisé Curly COMrades, il cible des pays en proie à des changements et troubles géopolitiques profonds, en mobilisant un arsenal sophistiqué.
Bitdefender Labs a révélé l’existence de ce nouveau groupe de cybercriminels, identifié en 2024, à la suite d’une tentative de déploiement d’un client Resocks — un outil open source disponible sur GitHub — qui avait mis en lumière une vaste campagne d’espionnage.
Baptisé Curly COMrades, cet APT agit dans l’intérêt de la Russie et cible des organisations critiques dans des pays traversant des bouleversements géopolitiques auxquels la Russie n’est pas étrangère. « Nous les avons observés menant des attaques ciblées contre des instances judiciaires et gouvernementales en Géorgie, ainsi que contre une société de distribution d’énergie en Moldavie », écrivent les chercheurs.
MucroAgent pour maintenir la persistance et exfiltrer des données
Curly COMrades cherche à maintenir un accès à long terme aux réseaux et à voler des identifiants valides pour ensuite se déplacer latéralement, collecter des données et les exfiltrer.
« Ils ont tenté à plusieurs reprises d’extraire la base de données NTDS des contrôleurs de domaine — le référentiel principal des hachages de mots de passe et des données d’authentification dans un réseau Windows. De plus, ils ont essayé d’extraire la mémoire LSASS de certains systèmes afin de récupérer des identifiants actifs d’utilisateurs, voire des mots de passe en clair, sur les machines où des sessions étaient ouvertes », décrivent-ils.
Pour parvenir à leurs fins, les cybercriminels utilisent des outils de proxy comme Resocks, SSH et Stunnel afin d’établir des portes d’entrée dans les réseaux internes, et exécutent des commandes à distance avec des outils comme Atexec. Pour s’assurer un accès persistant, les attaquants ont déployé une porte dérobée appelée MucroAgent. Ce malware a été conçu pour maintenir la persistance, exécuter des scripts PowerShell et exfiltrer via curl.exe. « Il constituait une pièce centrale de leur arsenal », font remarquer les chercheurs.
« Le groupe utilise aussi de manière stratégique des sites légitimes mais compromis comme relais de trafic. Cette tactique complique la détection et l’attribution, en mêlant le trafic malveillant à l’activité réseau normale. En faisant transiter leur commande et contrôle (C2), ainsi que leurs données exfiltrées, par des sites en apparence inoffensifs, ils contournent les défenses qui font confiance aux domaines connus et masquent leur véritable infrastructure », détaillent les chercheurs de Bitdefender.
Démystifier la bête
Bitdefender indique également dans son étude avoir volontairement donné un nom dépréciatif au groupe, afin de ne pas les glorifier. En effet, les cybercriminels reçoivent souvent des sobriquets qui, selon Bitdefender, tendent à les mystifier.
« En choisissant Curly COMrades, nous cherchons à dégonfler l’aura des cybercriminels, en les réduisant à ce qu’ils sont vraiment : des acteurs malveillants, nuisibles et perturbateurs, et non des “ours” ou des “sorciers” à l’image valorisée. » Ici, la dénomination fait référence aux outils employés par les cybercriminels, en l’occurrence curl.exe pour les communications C2 et l’exfiltration, ainsi que les objets COM (Component Object Model).
