Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Группировка RedCurl уже больше двух лет занимается корпоративным шпионажем

13/08/20

Группа RedCurl, обнаруженная экспертами Group-IB Threat Intelligence, активна как минимум с 2018 года. За это время она совершила 26 целевых атак исключительно на коммерческие организации. Среди них строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации.

RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии.

Curly

Группа действовала максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов — контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др. Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции.

Примечательно, что одной из вероятных жертв группы стал сотрудник компании, занимающейся информационной безопасностью и предоставляющей клиентам защиту от таких атак. Всего Group-IB удалось идентифицировать 14 организаций, ставших жертвами шпионажа со стороны RedCurl. Некоторые были атакованы несколько раз. Специалисты Group-IB связывались с каждой пострадавшей организацией. В ряде из них идет реагирование.

Самая ранняя известная атака RedCurl была зафиксирована в мае 2018 года. Как и во всех будущих кампаниях группы, первичным вектором было тщательно проработанное фишинговое письмо. Группа детально изучает инфраструктуру целевой организации; каждое письмо составляется не просто под организацию-жертву, а под конкретную команду внутри нее. Чаще всего атакующие направляли свои письма от имени HR-департамента. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность, например, все получали одинаковую рассылку по ежегодному премированию. Фишинговое письмо составлялось максимально качественно – в нем фигурируют подпись, логотип, поддельное доменное имя компании. Специалисты Group-IB Threat Intelligence подчёркивают, что подход RedCurl напоминает социотехнические атаки специалистов по пентесту, в частности, Red Teaming (услуга по проверки способности организации к отражению сложных кибератак с использованием методов и инструментов из арсенала хакерских группировок).

Облако с секретом

Для доставки полезной нагрузки RedCurl используют архивы, ссылки на которые размещаются в теле письма и ведут на легитимные облачные хранилища. Ссылки замаскированы так, что пользователь не подозревает, что открывая вложение с документом о премировании якобы с официального сайта, он инициирует развертывание трояна, контролируемого атакующими через облако, в локальной сети. Троян-загрузчик RedCurl.Dropper – пропуск злоумышленников в целевую систему, который установит и запустит остальные модули ВПО. Как и весь собственный инструментарий группы, дроппер был написан на языке PowerShell.

Главная цель RedCurl – кража документации из инфраструктуры жертвы и корпоративной переписки. Оказавшись в сети, злоумышленники сканируют список папок и офисных документов, доступных с зараженной машины. Информации о них отправляется на облако, и оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно все найденные на сетевых дисках файлы с расширениями *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx подменялись на ярлыки в виде модифицированных LNK-файлов. При открытии такого файла другим пользователем происходит запуск RedCurl.Dropper. Таким образом RedCurl заражают большее количество машин внутри организации-жертвы и продвигаются по системе.

Также злоумышленники стремятся получить учетные данные от электронной почты. Для этого используется инструмент LaZagne, который извлекает пароли из памяти и из файлов, сохраненных в веб-браузере жертвы. Если необходимые данные получить не удается, RedCurl задействуют сценарий Windows PowerShell, который показывает жертве всплывающее фишинговое окно Microsoft Outlook. Как только доступ к электронной почте жертвы получен, RedCurl проводят анализ и выгрузку всех интересующих их документов на облачные хранилища.

Скрывая следы

После получения первоначального доступа атакующие находятся в сети жертвы от 2-х до 6-ти месяцев. Троян RedCurl.Dropper, как и остальные инструменты группы, не подключается к командному серверу злоумышленников напрямую. Вместо этого все взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища, такие как Cloudme, koofr.net, pcloud.com и другие. Все команды отдаются в виде PowerShell скриптов. Это позволяет RedCurl оставаться невидимыми для традиционных средств защиты длительное время.

Темы:ИсследованиеУгрозыGroup-IBКиберугрозы
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

  • Лишь 10% корпоративных систем поддерживают современную аутентификацию
    Последнее время стало модным говорить о беспарольном будущем. Отчеты, аналитика, блоги и форумы пестрят рассуждениями о том, как классические пароли уходят в прошлое, а на их смену приходят более удобные и безопасные способы входа в систему. Однако реальность, как это часто бывает, оказывается менее однозначной.
  • Мисконфигурации 2024 года
    Два из трех хостов, по статистике, имеют хотя бы одну ошибку в конфигурации, которая с высокой вероятностью может привести к успешной кибератаке. Специалисты проанализировали кейсы более 150 российских компаний из различных отраслей, собрав данные почти с 300 тыс. серверов и рабочих станций.
  • Расширения для браузеров: удобный инструмент или ворота для хакеров?
    Ксения Рысаева, Руководитель группы аналитики Центра противодействия киберугрозам Innostage CyberART
    Расширения для браузеров и недостаточное внимание к ним со стороны администраторов усиливают риски возникновения угроз для компаний
  • Своя атмосфера: что давно пора сделать для защиты электронной почты
    Илья Померанцев, продуктовый аналитик департамента сетевой безопасности Group-IB
    Рассмотрим три реальные атаки через корпоративную почту, обнаруженные и остановленные нашей системой Group-IB Threat Hunting Framework
  • Сколько в 2022 году стоит специалист по информационной безопасности?
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Вакансий в сфере ИБ и защиты информации с февраля по июль 2022 г. в целом по России стало больше на 96%
  • Unified Risk Platform для проактивной защиты от атак
    Выявление и предотвращение сложных целевых атак, мошенничества, утечек, незаконного использования интеллектуальной собственности и бренда

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...