RedCurl — Пентест, о котором вы не просили

Ранее неизвестная хакерская группа RedCurl провела десятки тщательно спланированных атак менее чем за 3 года. Ее цель — корпоративный шпионаж против частных компаний различных отраслей от России до Северной Америки.

Для RedCurl нет никакой разницы, кого атаковать: российский банк или консалтинговую компанию в Канаде. Ведь содержание чужих писем может быть гораздо ценнее содержимого чужих кошельков. Несмотря на отсутствие прямого финансового ущерба, последствием шпионской деятельности может быть потеря десятков миллионов долларов.

До этого момента RedCurl успешно применяла техники сокрытия активности, а отсутствие индикаторов и технических данных облегчало работу злоумышленников. Мы продолжаем фиксировать новые атаки группы в разных странах мира, поэтому приводим в отчете индикаторы компрометации для возможной проверки сетей на факт проникновения.

Специалисты компании Group-IB рассказали об обнаружении хакерской группы RedCurl, которая специализируется на корпоративном шпионаже и на протяжении трех лет атаковала десятки целей от России до Северной Америки.

Цели

По данным исследователей, группа, предположительно, состоит из русскоговорящих хакеров и использует уникальный инструментарий для своих атак. Главной целью атакующих обычно являются документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников. Корпоративный шпионаж в целях конкурентной борьбы — редкое явление на хакерской сцене, однако частота атак RedCurl говорит о том, что вероятнее всего оно получит дальнейшее распространение.

RedCurl активна как минимум с 2018 года. За это время хакеры совершили 26 целевых атак исключительно на коммерческие организации. Среди них были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации. При этом RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии.

Группа действует максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов — контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и так далее. Аналитики пишут, что все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции.

В общей сложности Group-IB удалось идентифицировать 14 организаций, ставших жертвами шпионажа со стороны RedCurl. Некоторые из них были атакованы несколько раз. Специалисты ­связывались с каждой пострадавшей организацией, и в настоящее время в ряде из них идет реагирование.

Самая ранняя известная атака RedCurl зафиксирована в мае 2018 года. Как и во всех будущих кампаниях группы, первичным вектором было тщательно проработанное фишинговое письмо. Группа детально изучает инфраструктуру целевой организации; каждое письмо составляется не просто под организацию-жертву, а под конкретную команду внутри нее.

Чаще всего атакующие направляли свои письма от имени HR-департамента. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность. Например, все получали одинаковую рассылку по ежегодному премированию. Фишинговое письмо составляется максимально качественно — в нем фигурируют подпись, логотип, поддельное доменное имя компании. Специалисты Group-IB подчеркивают, что подход RedCurl напоминает атаки специалистов по пентесту, в частности, Red Teaming.

Инструментарий

Для доставки полезной нагрузки RedCurl использует архивы, ссылки на которые размещаются в теле письма и ведут на легитимные облачные хранилища. Ссылки замаскированы таким образом, чтобы пользователь не подозревал, что открывая вложение с документом о премировании якобы с официального сайта, он инициирует развертывание трояна, контролируемого атакующими через облако, в локальной сети.

Троян-загрузчик RedCurl.Dropper — пропуск злоумышленников в целевую систему, который установит и запустит остальные модули малвари. Как и весь собственный инструментарий группы, дроппер был написан на языке PowerShell.

Как уже было сказано выше, главная цель RedCurl — кража документации из инфраструктуры жертвы и корпоративной переписки. Оказавшись в сети, злоумышленники сканируют список папок и офисных документов, доступных с зараженной машины. Информация о них отправляется на облако, и оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно все найденные на сетевых дисках файлы с расширениями *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx подменялись на ярлыки в виде модифицированных LNK-файлов. При открытии такого файла другим пользователем происходит запуск RedCurl.Dropper. Таким образом, RedCurl заражает большее количество машин внутри организации-жертвы и продвигается по системе.

Также злоумышленники стремятся получить учетные данные от электронной почты. Для этого используется инструмент LaZagne, который извлекает пароли из памяти и из файлов, сохраненных в браузере жертвы. Если необходимые данные получить не удается, RedCurl задействуют скрипт Windows PowerShell, который показывает жертве всплывающее фишинговое окно Microsoft Outlook. Как только доступ к электронной почте жертвы получен, RedCurl проводят анализ и выгрузку всех интересующих их документов на облачные хранилища.

После получения первоначального доступа атакующие находятся в сети жертвы от 2 до 6 месяцев. Троян RedCurl.Dropper, как и остальные инструменты группы, не подключается к командному серверу злоумышленников напрямую. Вместо этого все взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища, такие как Cloudme, koofr.net, pcloud.com и другие. Все команды отдаются в виде PowerShell скриптов. Это позволяет RedCurl оставаться невидимыми для традиционных средств защиты длительное время.

Источники:

https://www.group-ib.ru/resources/threat-research/red-curl.html

https://xakep.ru/2020/08/13/redcurl/