Призраки в сети: RedCurl снова на охоте

Исследователи кибербезопасности из команды F.A.C.C.T. Threat Intelligence недавно выявили новую вредоносную кампанию хакерской группы RedCurl, нацеленную на организации в Австралии, Сингапуре и Гонконге. Атаки затронули сферы строительства, логистики, авиаперевозок и горнодобывающей промышленности.

Группировка RedCurl, активная с 2018 года и впервые выявленная в 2019 году, специализируется на кибершпионаже. Злоумышленники используют уникальные инструменты для кражи деловой переписки, личных данных сотрудников и юридических документов.

С момента первичного заражения целевой сети до фактической кражи данных обычно проходит от двух до шести месяцев, так как хакеры тщательно планируют все свои действия.

Анализ активности RedCurl показал, что группировка продолжает расширять географию своих операций. Из 40 успешных атак лишь половина пришлась на Россию и страны СНГ, когда как все остальные — на Великобританию, Германию, Канаду и Норвегию.

В атаках конца 2023 года группа продолжила использовать электронные письма с вложенными SVG-файлами или RAR-архивами для первоначального заражения. Эти файлы обычно маскируются под официальные документы от известных компаний, таких как Amazon и Samsung, и включают в себя механизмы для загрузки вредоносного кода.

RedCurl использует сложные механизмы для укрепления своего присутствия в системе жертвы, в том числе через создание запланированных задач в планировщике Windows. Следующие стадии атаки включают сбор информации о системе и её последующую отправку на С2-серверы хакеров.

Исследователи также обнаружили примеры успешных атак, в результате которых злоумышленникам удалось эксфильтрировать слепки базы данных Active Directory из австралийских компаний.

Цепочка заражения в последних атаках RedCurl (предоставлено F.A.C.C.T.)

В ответ на угрозы и риски, представляемые группой RedCurl, эксперты F.A.C.C.T. рекомендуют компаниям усилить защиту электронной почты, обучать сотрудников распознаванию фишинговых атак, отслеживать необычную активность в планировщике задач Windows и использовать специализированные решения для защиты Active Directory.

Все используемые злоумышленниками тактики, техники и процедуры (TTP), а также индикаторы компрометации (IoC) детально описаны в полном отчёте исследователей.