Группа RedCurl киберпреступности взломал компаний в течение трех лет

RedCurl targets


Изображение: группа-ПБ

Безопасности

Everything you need to know about viruses, trojans and malicious software

Все, что нужно знать о вирусах, троянских программ и вредоносного программного обеспечения

Кибер-атаки и вредоносные программы являются одной из самых серьезных угроз в интернете. Узнать о разных видах вредоносных программ и как не стать жертвой нападения.

Подробнее

Исследователи безопасности обнаружили новую русскоязычной хакерской группы, что они утверждают, что была сосредоточена на протяжении последних трех лет в корпоративном шпионаже, против компаний по всему миру, чтобы украсть документы, содержащие коммерческую тайну и персональные данные сотрудников.

Им RedCurl, деятельность этой новой группы были подробно изложены в 57-страничном докладе, распространенном сегодня кибер-безопасности фирма Group-ІВ.

Компания следит за группой с лета 2019 года, когда он был впервые вызван расследовать нарушения безопасности в компании взломан группой.

С тех пор группа-IB заявляет она определила 26 другие нападения RedCurl, совершили в отношении 14 организаций, идя в далеком 2018.

Жертвами разнообразны в различных странах и отраслях промышленности, а также входят строительные компании, предприятия розничной торговли, туристических агентств, страховых компаний, банков, юридических и консалтинговых фирм из таких стран как Россия, Украина, Канада, Германия, Норвегия и Великобритания.

Фишинг-и PowerShell

Но несмотря на длительную трехлетнюю веселье взлома, группы не используют сложные инструменты или хакерские приемы для своих атак. Вместо этого, группа в значительной степени опирался на копье-фишинг для начального доступа.

«Однако отличительной особенностью RedCurl заключается в том, что содержимое электронной почты-это тщательно продуманные,» исследователи сказали сегодня. «Например, сообщения электронной почты отображается адрес и логотип целевую компанию, а адрес отправителя фигурирует имя домена компании.

«Нападавшие представились сотрудниками HR-службы в соответствующей организации и разослал письма нескольким сотрудникам сразу, что сделал человек менее бдительными, особенно учитывая, что многие из них работали в одном отделе», — добавили они.

Письма содержат ссылки на вредоносные программы Кружевной файлы, которые жертвы должны были скачать. Как только жертва побежала содержание архивов boobytrapped, они заразились с коллекцией помощью PowerShell троянов.

redcurl-schema.jpgredcurl-schema.jpg


Изображение: группа-ПБ

Группа-IB заявляет, троянцев были уникальны для группы и допустимые операторы RedCurl доступ к основным операциям, таким, как поисковые системы, загрузив другие вредоносных программ, или загружать похищенные файлы на удаленных серверах.

RedCurl спрятал в взломанной сети от двух до шести месяцев

Там, где это возможно, группа также попыталась двинуть Боково через зараженные сети путем доступа к сети общих дисков и заменять оригинальные файлы с boobytrapped расширением. LNK (ярлык) файлов, что бы заразить других сотрудников, если они выполняются файлы.

Группа-ПБ исследователи говорят, что этот этап, как правило, длился от двух до шести месяцев.

«На этапе распространения по сети значительно растянут во времени, поскольку группа стремится оставаться незамеченным как можно дольше и не использовать никаких активных троянов, которые могут раскрывать свое присутствие», — сообщает компания.

Один конкретный вещь, которая выделялась о RedCurl было использование протокола WebDAV в качестве канала утечки данных, как и другие хакерские группы, такие как CloudAtlas и «Красный Октябрь». Тем не менее, группа-IB заявляет, он не находил иного существенные совпадения между тремя, и считает, что они являются отдельным операциям на основе имеющихся данных.

redcurl-comparrison.pngredcurl-comparrison.png


Изображение: группа-ПБ

15 из 14

Далее

Пред

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *