13/08/20
Группа RedCurl, обнаруженная экспертами Group-IB Threat Intelligence, активна как минимум с 2018 года. За это время она совершила 26 целевых атак исключительно на коммерческие организации. Среди них строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации.
RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии.
Группа действовала максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов — контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др. Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции.
Примечательно, что одной из вероятных жертв группы стал сотрудник компании, занимающейся информационной безопасностью и предоставляющей клиентам защиту от таких атак. Всего Group-IB удалось идентифицировать 14 организаций, ставших жертвами шпионажа со стороны RedCurl. Некоторые были атакованы несколько раз. Специалисты Group-IB связывались с каждой пострадавшей организацией. В ряде из них идет реагирование.
Самая ранняя известная атака RedCurl была зафиксирована в мае 2018 года. Как и во всех будущих кампаниях группы, первичным вектором было тщательно проработанное фишинговое письмо. Группа детально изучает инфраструктуру целевой организации; каждое письмо составляется не просто под организацию-жертву, а под конкретную команду внутри нее. Чаще всего атакующие направляли свои письма от имени HR-департамента. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность, например, все получали одинаковую рассылку по ежегодному премированию. Фишинговое письмо составлялось максимально качественно – в нем фигурируют подпись, логотип, поддельное доменное имя компании. Специалисты Group-IB Threat Intelligence подчёркивают, что подход RedCurl напоминает социотехнические атаки специалистов по пентесту, в частности, Red Teaming (услуга по проверки способности организации к отражению сложных кибератак с использованием методов и инструментов из арсенала хакерских группировок).
Облако с секретом
Для доставки полезной нагрузки RedCurl используют архивы, ссылки на которые размещаются в теле письма и ведут на легитимные облачные хранилища. Ссылки замаскированы так, что пользователь не подозревает, что открывая вложение с документом о премировании якобы с официального сайта, он инициирует развертывание трояна, контролируемого атакующими через облако, в локальной сети. Троян-загрузчик RedCurl.Dropper – пропуск злоумышленников в целевую систему, который установит и запустит остальные модули ВПО. Как и весь собственный инструментарий группы, дроппер был написан на языке PowerShell.
Главная цель RedCurl – кража документации из инфраструктуры жертвы и корпоративной переписки. Оказавшись в сети, злоумышленники сканируют список папок и офисных документов, доступных с зараженной машины. Информации о них отправляется на облако, и оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно все найденные на сетевых дисках файлы с расширениями *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx подменялись на ярлыки в виде модифицированных LNK-файлов. При открытии такого файла другим пользователем происходит запуск RedCurl.Dropper. Таким образом RedCurl заражают большее количество машин внутри организации-жертвы и продвигаются по системе.
Также злоумышленники стремятся получить учетные данные от электронной почты. Для этого используется инструмент LaZagne, который извлекает пароли из памяти и из файлов, сохраненных в веб-браузере жертвы. Если необходимые данные получить не удается, RedCurl задействуют сценарий Windows PowerShell, который показывает жертве всплывающее фишинговое окно Microsoft Outlook. Как только доступ к электронной почте жертвы получен, RedCurl проводят анализ и выгрузку всех интересующих их документов на облачные хранилища.
Скрывая следы
После получения первоначального доступа атакующие находятся в сети жертвы от 2-х до 6-ти месяцев. Троян RedCurl.Dropper, как и остальные инструменты группы, не подключается к командному серверу злоумышленников напрямую. Вместо этого все взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища, такие как Cloudme, koofr.net, pcloud.com и другие. Все команды отдаются в виде PowerShell скриптов. Это позволяет RedCurl оставаться невидимыми для традиционных средств защиты длительное время.
