Firemní špionážni hackeri RedCurl sa vracajú s aktualizovanými hackerskými nástrojmi

Firemná skupina hackerov pre kybernetickú špionáž sa po sedemmesačnej prestávke znovu objavila s novými útokmi zameranými na štyri spoločnosti v tomto roku vrátane jedného z najväčších veľkoobchodov v Rusku, pričom súčasne vykonala taktické vylepšenia svojej sady nástrojov v snahe prekaziť analýzu.

„Pri každom útoku aktér hrozby demonštruje rozsiahle červené tímové schopnosti a schopnosť obísť tradičnú antivírusovú detekciu pomocou vlastného vlastného malvéru,“ povedal Ivan Pisarev zo skupiny Group-IB.

Rusky hovoriaca hackerská skupina RedCurl, ktorá je aktívna minimálne od novembra 2018, bola doteraz spojená s 30 útokmi s cieľom podnikovej kybernetickej špionáže a krádeže dokumentov zameraných na 14 organizácií z oblasti stavebníctva, financií, poradenstva, maloobchodu, poisťovníctva a právneho sektora. a nachádza sa vo Veľkej Británii, Nemecku, Kanade, Nórsku, Rusku a na Ukrajine.

Hrozba používa množstvo zavedených hackerských nástrojov, aby infiltrovala svoje ciele a ukradla internú firemnú dokumentáciu, ako sú záznamy o zamestnancoch, súdne a právne spisy a históriu podnikových e-mailov, pričom kolektívne výdavky od dvoch do šiestich mesiacov od počiatočnej infekcie po časové údaje sú skutočne ukradnuté.

Modus operandi RedCurl znamená odklon od iných protivníkov, v neposlednom rade preto, že nenasadzuje zadné vrátka ani sa nespolieha na nástroje po vykorisťovaní, ako sú CobaltStrike a Meterpreter, ktoré sú obe považované za typické metódy diaľkového ovládania napadnutých zariadení. A čo viac, napriek zachovaniu zakoreneného prístupu nebola skupina pozorovaná pri vykonávaní útokov, ktoré sú motivované finančným ziskom a zahŕňajú šifrovanie infraštruktúry obetí alebo požadovanie výkupného za ukradnuté údaje.

Skôr sa zdá, že dôraz je kladený na získanie cenných informácií čo najskrytejšie pomocou kombinácie samostatne vyvinutých a verejne dostupných programov na získanie počiatočného prístupu pomocou prostriedkov sociálneho inžinierstva, vykonanie prieskumu, dosiahnutie vytrvalosti, bočný pohyb a exfiltrácia citlivej dokumentácie.

„Špionáž v kyberpriestore je charakteristickým znakom štátom podporovaných pokročilých pretrvávajúcich hrozieb,“ uviedli vedci. “Vo väčšine prípadov sú takéto útoky zamerané na iné štáty alebo štátne spoločnosti. Firemná kybernetická špionáž je stále pomerne zriedkavý a v mnohých ohľadoch ojedinelý jav. Je však možné, že úspech skupiny by mohol viesť k novému trendu v oblasti počítačovej kriminality .”