Хакеры-шпионы RedCurl возобновляют атаки с помощью обновленных инструментов

6
Как киберпреступники скорректировали свои аферы к Черной пятнице 2021 года

Бригада высококвалифицированных хакеров, специализирующихся на корпоративном шпионаже, возобновила свою деятельность, и одной из их жертв в этом году стала крупная оптовая компания в России.

Отмеченная как RedCurl, группа дважды в этом году атаковала российский бизнес, каждый раз используя тщательно сконструированные целевые фишинговые электронные письма с вредоносным ПО на начальной стадии.

Увеличение количества жертв

RedCurl, действующий с 2018 года, несет ответственность за не менее 30 атак на предприятия в России (18 из них), Украине, Канаде, Норвегии, Великобритании и Германии, последние четыре из которых произошли в этом году.

Хакеры умеют оставаться незамеченными в течение длительного времени, от двух до шести месяцев, прежде чем украсть корпоративные данные (записи о персонале, документы о юридических лицах, судебные записи, внутренние файлы, историю электронной почты).

Дважды ударил по одной и той же компании

Исследователи из компании по кибербезопасности Group-IB заметили семимесячный перерыв в активности RedCurl, который хакеры использовали для внесения значительных улучшений в свой набор настраиваемых инструментов и методов атаки.

Среди последних жертв хакера — одна из крупнейших оптовых компаний России, которая поставляет сетевым магазинам и другим оптовикам товары для дома, офиса и отдыха.

По неизвестным причинам RedCurl дважды атаковал эту компанию, получая первоначальный доступ через электронные письма, выдававшие себя за отдел кадров компании с объявлением бонусов и портал государственных услуг.

В обоих случаях целью было развернуть на компьютере сотрудника загрузчик вредоносного ПО (RedCurl.InitialDropper), скрытый во вложенном документе, который мог запустить следующий этап атаки.

В ходе расследования Group-IB обнаружила, что RedCurl увеличил цепочку атаки до пяти этапов с трех или четырех этапов, которые наблюдались ранее.

Хакеры старались не вызывать подозрений, когда получатель открывал вредоносный документ, который запускал начальный дроппер, поэтому они включили хорошо созданный файл-приманку с содержимым, связанным с организацией.

Дроппер получал инструмент RedCurl.Downloader, который собирал информацию о зараженной машине и доставлял ее на управляющий сервер (C2), а также инициировал следующий этап атаки.

Обновленный набор инструментов

Group-IB обнаружила, что хакеры теперь использовали RedCurl.Extractor, модифицированную версию RedCurl.Dropper, которую они обнаружили в предыдущих атаках этого злоумышленника.

Целью этого инструмента была только подготовка к заключительному этапу атаки, который заключался в достижении устойчивости системы.

Исследователи отмечают, что RedCurl перешел от типичного использования пакетных сценариев и сценариев PowerShell к исполняемым файлам, и что антивирусное программное обеспечение не смогло обнаружить первоначальное заражение или атакующего, перемещающегося по сети жертвы.

Однако улучшения в наборе инструментов RedCurl, похоже, были поспешными, поскольку Group-IB обнаружила логическую ошибку в одной из команд. Одно из объяснений состоит в том, что у группы было мало времени, чтобы начать атаку, и она не могла должным образом протестировать свои инструменты.

Group-IB опубликовала сегодня отчет с индикаторами взлома и технической информацией об обновленном наборе инструментов RedCurl и их функциональности:

  • RedCurl.InitialDropper: файл LNK, используемый на начальном этапе заражения, загружает пакетные сценарии или сценарии PowerShell с C2, которые получают вредоносное ПО для следующего этапа.
  • RedCurl.Downloader (новый инструмент): загрузчик промежуточного этапа, который собирает данные о зараженной системе, загружает и развертывает вредоносное ПО для следующего этапа
  • RedCurl.Extractor: DLL-файл, эквивалентный RedCurl.Dropper, извлекает законную утилиту 7-Zip, загружает и устанавливает вредоносное ПО следующего уровня.
  • RedCurl.FSABIN: двоичный эквивалент старого RedCurl.FirstStageAgent, получает команды от HTTP-серверов, контролируемых хакерами.
  • RedCurl.CHABIN1: форк FSABIN
  • RedCurl.CHABIN2: аналогично CHABIN1, определяет настройки прокси-сервера для подключения зараженной системы к серверам, контролируемым хакерами.

Несмотря на то, что он не так активен, как в другие годы, RedCurl сохраняет свою изощренность и остается продвинутым субъектом угроз, способным оставаться незамеченным в течение нескольких месяцев.

Group-IB сообщает, что из четырех атак, выявленных в этом году, две были направлены против одной и той же цели. Однако они ожидают, что появится больше жертв, поскольку обновленные инструменты RedCurl обнаруживаются в дикой природе все чаще.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here