Image by DC Studio, from Freepik
Yeni Hacker Grubu, Meşru Web Sitelerinde Saklanırken Bulundu
Okuma süresi: 2 dk.
Son Güncellenen Aug 14, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
“Ileri düzeyde casusluk taktiklerine sahip bir hacker grubu olan “Curly COMrades”, Doğu Avrupa’daki hükümetleri ve enerji şirketlerini hedef alıyor.
Acelesi olanlar için hızlı gerçekler:
- Hackerlar, sistemlere sürekli sızmayı sürdürmek için şifreleri çalarlar.
- Bilgisayarlarda gizli kalmak için özel bir arka kapı kullanırlar.
- Çalınan veriler gerçek fakat hacklenmiş web siteleri aracılığıyla gönderilir.
Bitdefender Labs, “Curly COMrades” adında yeni bir hacker grubu tespit etti. Bu grup, Rus çıkarlarını desteklediği düşünülen ve politik değişim geçiren ülkeleri hedef alıyor. 2024 ortalarından bu yana grup, Gürcistan’daki yargı ve hükümet organlarına ve Moldova’daki bir enerji şirketine saldırdı.
Hackerların ana hedefi, “hedef ağlara uzun vadeli erişimi sürdürmek ve geçerli kimlik bilgilerini çalmak”tır. Sürekli olarak, Windows kullanıcı şifrelerini depolayan NTDS veritabanını çıkarmaya ve LSASS belleğini dökerek, muhtemelen düz metin halinde giriş bilgilerini geri kazanmaya çalıştılar.
“Curly COMrades” operasyonu, Resocks, SSH ve Stunnel araçları aracılığıyla sağlam erişim noktaları oluşturma üzerine kuruludur. Saldırganlar, erişimlerini Windows .NET Native Image Generator CLSIDs’yi ele geçirerek gizleyen özel backdoorları olan MucorAgent’ı kullanırlar. Bu direnç yönteminin öngörülemeyen doğası, onu tespit etmeyi zorlaştırır.
Saldırganlar, çalınan verileri ve uzaktan komutları, zararlı trafiği tipik ağ aktivitesi ile karıştırarak, tehlikeye atılmış meşru web siteleri aracılığıyla göndererek operasyonlarını gizlerler. Bitdefender, “gözlemlediğimiz şeyin, kontrol ettikleri çok daha büyük bir tehlikeye atılmış web altyapısı ağının sadece küçük bir parçası olduğu çok muhtemel” diyor.
Yeterli kanıtın olmaması, Bitdefender’ın grubu herhangi bir bilinen hacker organizasyonuyla bağlantılandırmaktan kaçınmasına yol açtı. Araştırmacılar, siber suç aktivitelerini yüceltmemek için ‘curl.exe’ kullanımı ve ‘COM nesnesi’ kaçırma dahil olmak üzere teknik göstergelere dayanarak yeni bir isim oluşturdular.
Araştırma, proxy yazılım aktivitesinin şüpheleri artırması ve daha büyük bir casusluk operasyonunun keşfine yol açması sonucunda başladı. Araştırmacılar, bu grubun taktikleri ve ısrarı göz önüne alındığında, yüksek değerli politik ve altyapı hedefleri için büyük bir tehdit oluşturduğunu düşünüyor.
Önceki Hikâye
Son makaleler 
