Μια ομάδα με πολύ εξειδικευμένους χάκερ που ειδικεύεται στην εταιρική κατασκοπεία έχει ξεκινήσει ξανά τη δραστηριότητα της – ένα από τα φετινά θύματά τους είναι μια μεγάλη εταιρεία χονδρικής στη Ρωσία. Η ομάδα που ονομάζεται RedCurl επιτέθηκε στη ρωσική επιχείρηση δύο φορές φέτος, κάθε φορά χρησιμοποιώντας προσεκτικά κατασκευασμένα phishing emails (spear-phishing) με malware αρχικού σταδίου.
Δείτε επίσης: Ρώσοι κυβερνοεγκληματίες επιδιώκουν συνεργασίες με Κινέζους hackers;
Αύξηση του αριθμού των θυμάτων
Ενεργό από το 2018, το RedCurl είναι υπεύθυνο για τουλάχιστον 30 επιθέσεις εναντίον επιχειρήσεων στη Ρωσία (18 από αυτές), την Ουκρανία, τον Καναδά, τη Νορβηγία, το Ηνωμένο Βασίλειο και τη Γερμανία, οι τελευταίες τέσσερις από αυτές σημειώθηκαν μέσα στην χρονιά.
Οι χάκερ είναι ικανοί στο να μένουν απαρατήρητοι για μεγάλες περιόδους, μεταξύ δύο και έξι μηνών, προτού κλέψουν εταιρικά δεδομένα (αρχεία προσωπικού, έγγραφα σχετικά με νομικά πρόσωπα, δικαστικά αρχεία, εσωτερικά αρχεία, ιστορικό email).
Δείτε επίσης: Οι hackers προσφέρουν πολλά εκατομμύρια για zero-days
Χτυπώντας την ίδια εταιρεία δύο φορές
Ερευνητές στην εταιρεία κυβερνοασφάλειας Group-IB παρατήρησαν ένα επτάμηνο κενό στη δραστηριότητα του RedCurl, το οποίο χρησιμοποίησαν οι χάκερ για να προσθέσουν σημαντικές βελτιώσεις στο σύνολο των προσαρμοσμένων εργαλείων και μεθόδων επίθεσης.
Ανάμεσα στα τελευταία θύματα της ομάδας hacking είναι μια από τις μεγαλύτερες εταιρείες χονδρικής της Ρωσίας, η οποία προμηθεύει αλυσίδες καταστημάτων και άλλους χονδρεμπόρους με είδη σπιτιού, γραφείου και αναψυχής.
Για λόγους που παραμένουν άγνωστοι, η RedCurl επιτέθηκε σε αυτή την εταιρεία δύο φορές, αποκτώντας αρχική πρόσβαση μέσω email που υποδύονταν το τμήμα ανθρώπινου δυναμικού της εταιρείας που ανακοίνωνε μπόνους.
Και στις δύο περιπτώσεις, ο στόχος ήταν να αναπτυχθεί στον υπολογιστή του υπαλλήλου ένα malware downloader (RedCurl.InitialDropper) κρυμμένο σε ένα συνημμένο έγγραφο που θα μπορούσε να ξεκινήσει το επόμενο στάδιο της επίθεσης.
Δείτε επίσης: FBI: Ιρανοί hackers προσπαθούν να αγοράσουν κλεμμένα δεδομένα αμερικανικών οργανισμών
Κατά τη διάρκεια της έρευνας, η Group-IB διαπίστωσε ότι η RedCurl επέκτεινε την αλυσίδα επίθεσης σε πέντε στάδια, από τα τρία ή τέσσερα βήματα που είχαν παρατηρηθεί στο παρελθόν.
Οι χάκερ φρόντισαν να μην εγείρουν καμία υποψία όταν ο παραλήπτης άνοιξε το κακόβουλο έγγραφο που εκτόξευσε το αρχικό dropper, έτσι συμπεριέλαβαν ένα καλοφτιαγμένο αρχείο δόλωμα με περιεχόμενο σχετικό με τον οργανισμό.
Το dropper θα έφερνε το εργαλείο RedCurl.Downloader, το οποίο συνέλεγε πληροφορίες σχετικά με το μολυσμένο μηχάνημα και τις παρέδιδε σε έναν command and control server (C2) και ξεκινούσε και το επόμενο στάδιο της επίθεσης.
Ενημερωμένο σύνολο εργαλείων
Η Group-IB ανακάλυψε ότι οι χάκερ χρησιμοποιούσαν τώρα το RedCurl.Extractor, μια τροποποιημένη έκδοση του RedCurl.Dropper που βρήκαν σε προηγούμενες επιθέσεις της ομάδας.
Ο σκοπός αυτού του εργαλείου ήταν μόνο να προετοιμάσει το τελικό βήμα της επίθεσης, το οποίο περιελάμβανε την επίτευξη persistence στο σύστημα.
Οι ερευνητές σημειώνουν ότι το RedCurl έχει μετατοπιστεί από την τυπική χρήση scripts batch και PowerShell σε εκτελέσιμα αρχεία και ότι το antivirus software απέτυχε να ανιχνεύσει την αρχική μόλυνση ή τον εισβολέα να κινείται πλευρικά στο δίκτυο του θύματος.
Η Group-IB δημοσίευσε σήμερα μια έκθεση με indicators παραβίασης και τεχνικές πληροφορίες σχετικά με το ενημερωμένο σύνολο εργαλείων της RedCurl και τη λειτουργικότητά τους, την οποία μπορείτε να βρείτε εδώ.
Πηγή πληροφοριών: bleepingcomputer.com
