Group-IB раскрыла группу RedCurl, занимающуюся корпоративным шпионажем

13 августа 2020 г. 12:27

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, представила аналитический отчет о ранее неизвестной хакерской группе RedCurl, специализирующейся на корпоративном шпионаже. Одной из жертв атаки хакеров RedCurl стал сотрудник компании, занимающейся информационной безопасностью и предоставляющей клиентам защиту от таких атак.

Менее чем за 3 года RedCurl атаковала десятки целей от России до Северной Америки.

Группа, предположительно, состоящая из русскоговорящих хакеров, проводит тщательно спланированные атаки на частные компании различных отраслей, используя уникальный инструментарий. Цель атакующих – документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников.

Корпоративный шпионаж в целях конкурентной борьбы – редкое явление на хакерской сцене, однако частота атак говорит о том, что вероятнее всего оно получит дальнейшее распространение, говорится в сообщении сколковской компании, поступившем в Sk.ru. 

Иллюстрация: Group-IB. 

Group-IB впервые раскрывает тактику, инструменты и особенности инфраструктуры группы RedCurl. Документ, доступный на сайте компании, приводит подробное описание цепочки атаки, подготовленное специалистами Лаборатории компьютерной криминалистики Group-IB. 

Группа RedCurl активна как минимум с 2018 года. За это время она совершила 26 целевых атак исключительно на коммерческие организации. Среди них — строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации. RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии.

Группа действовала максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов — контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др. Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции.

Самая ранняя известная атака RedCurl была зафиксирована в мае 2018 года. Как и во всех будущих кампаниях группы, первичным вектором было тщательно проработанное фишинговое письмо. Группа детально изучает инфраструктуру целевой организации; каждое письмо составляется не просто под организацию-жертву, а под конкретную команду внутри нее.  Чаще всего атакующие направляли свои письма от имени HR-департамента. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность, например, все получали одинаковую рассылку по ежегодному премированию. Фишинговое письмо составляется максимально качественно – в нем фигурируют подпись, логотип, поддельное доменное имя компании. Специалисты Group-IB подчёркивают, что подход RedCurl напоминает социотехнические атаки специалистов по пентесту, в частности, Red Teaming (услуга по проверки способности организации к отражению сложных кибератак с использованием методов и инструментов из арсенала хакерских группировок). 

Для доставки полезной нагрузки RedCurl используют архивы, ссылки на которые размещаются в теле письма и ведут на легитимные облачные хранилища. Ссылки замаскированы так, что пользователь не подозревает, что открывая вложение с документом о премировании якобы с официального сайта, он инициирует развертывание трояна, контролируемого атакующими через облако, в локальной сети. Троян-загрузчик RedCurl.Dropper  пропуск злоумышленников в целевую систему, который установит и запустит остальные модули ВПО. Как и весь собственный инструментарий группы, дроппер был написан на языке PowerShell. 

Главная цель RedCurl – кража документации из инфраструктуры жертвы и корпоративной переписки. Оказавшись в сети, злоумышленники сканируют список папок и офисных документов, доступных с зараженной машины. Информация о них отправляется на облако, и оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно все найденные на сетевых дисках файлы с расширениями *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx подменялись на ярлыки в виде модифицированных LNK-файлов. При открытии такого файла другим пользователем происходит запуск RedCurl.Dropper. Таким образом, RedCurl заражают большее количество машин внутри организации-жертвы и продвигаются по системе.   

Также предполагаемые злоумышленники стремятся получить учетные данные от электронной почты. Для этого используется инструмент LaZagne, который извлекает пароли из памяти и из файлов, сохраненных в веб-браузере жертвы. Если необходимые данные получить не удается, RedCurl задействуют сценарий Windows PowerShell, который показывает жертве всплывающее фишинговое окно MicrosoftOutlook. Как только доступ к электронной почте жертвы получен, RedCurl проводят анализ и выгрузку всех интересующих их документов на облачные хранилища.

На данный момент Group-IB продолжает фиксировать новые атаки RedCurl в разных странах.