Trükkös támadási lánc és tartós jelenlét
A Bitdefender szakértői által elemzett MucorAgent egy összetett, .NET-alapú kártevő, amely AES-titkosított PowerShell-parancsfájlt hajt végre, és az eredményeket titkos csatornán keresztül tölti fel a parancsirányítási szerverre. Lényeges hangsúlyozni, hogy a csoport előszeretettel használja a curl.exe programot adatkinyerésre és C2 kommunikációra, miközben kihasználja a Windows Component Object Model (COM) elemek manipulálását. Bár közvetlen kapcsolódás ismert orosz APT-csoportokhoz nem mutatható ki, a támadások geopolitikailag egyértelműen Oroszország céljait szolgálják.
A támadók a bejutáshoz proxyügynököket – például a Go-alapú Resocks-ot – telepítenek a belső hálózatokba, ezek legtöbbször a curl.exe segítségével, Windows szolgáltatásként vagy ütemezett feladatként futnak, és a C2 szerverhez a 443-as vagy 8443-as porton keresztül kapcsolódnak. Biztonsági tartalékként saját fejlesztésű SOCKS5 szervert és SSH + Stunnel megoldást is alkalmaznak, illetve a forgalmat CurlCat nevű, libcurl-alapú egyedi eszközzel titkosítják és továbbítják kompromittált weboldalakon keresztül.
Rendhagyó rejtőzködés és adatlopás
A támadó csoport rendkívül kiszámíthatatlan kitartási módszert vet be: például a Windows NGEN feladatát (amely a .NET futtatókörnyezet előfordításáért felelős) veszi irányítás alá, és ennek az ütemezett, de letiltott feladatához kötődve marad jelen a rendszerben. Mindezek dacára a feladat inaktívnak tűnhet, mégis rendszeres időközönként elindul – például egy új alkalmazás telepítésekor.
A támadók nemcsak saját eszközeikre támaszkodnak: gyakran telepítenek legális távoli felügyeleti (RuRat) és rendszergazdai támogató szoftvereket (RMM) is, hogy hosszabb távon interaktív hozzáférést biztosítsanak maguknak.
Adatgyűjtési és elhárítási próbálkozások
A MucorAgent három komponensből áll: képes valódi COM-kezelőket eltéríteni, .NET-kiegészítő komponenseket betölteni, megkerülve a Windows Antimalware Scan Interface-t, valamint titkosított adathalmazt letölteni index.png vagy icon.png fájlokban, szinte biztosan szkript formájában. A hackerek rendszeresen próbáltak hitelesítő adatokat – például belépési jelszavakat és tartományvezérlő adatbázisokat – megszerezni, ellopni és a hálózaton keresztül kiszivárogtatni. Fontos, hogy a támadók a Windows rendszer beépített parancssori eszközeit (pl. netstat, tasklist, wmic, ipconfig) és PowerShell Active Directory lekérdezéseit is rutinszerűen futtatták, ehhez automatizált batch szkripteket és parancsfájlokat alkalmaztak.
Ennek fényében, bár a Curly COMrades fejlett, megtévesztő technikákat és nyílt forráskódú szoftvereket is bevet, az általuk generált forgalom mégis észlelhető maradt a modern EDR/XDR védelmi rendszerek számára.
