RedCurl Corporate Espionagem Piratas retomará ataques com ferramentas atualizadas

Uma equipe de hackers altamente treinados e especializados em espionagem corporativa retomou sua atividade, uma das vítimas deste ano foi uma grande empresa atacadista na Rússia.

Rastreado como RedCurl, o grupo atacou a empresa russa duas vezes este ano, cada vez usando e-mails de phishing cuidadosamente elaborados, repletos de malware desde o início.

aumentar o número de vítimas

Ativo desde 2018, o RedCurl é responsável por pelo menos 30 ataques a empresas na Rússia (18), Ucrânia, Canadá, Noruega, Reino Unido e Alemanha, sendo que os quatro últimos ocorreram este ano.

Os hackers costumam passar despercebidos por longos períodos de dois a seis meses antes de roubar dados corporativos (registros de pessoal, registros de entidades legais, documentos judiciais, arquivos internos, histórico de e-mail).

Acerte a mesma empresa duas vezes

Pesquisadores da empresa de segurança cibernética Group-IB notaram uma violação de sete meses nos negócios da RedCurl, que os hackers usaram para adicionar melhorias significativas ao seu conjunto de ferramentas personalizadas e métodos de ataque.

Entre as últimas vítimas do hacker está uma das maiores empresas atacadistas da Rússia, fornecendo a cadeias de lojas e outros atacadistas com itens domésticos, de escritório e de lazer.

Por razões ainda desconhecidas, a RedCurl atacou esta empresa duas vezes, obtendo acesso inicial por e-mail ao se passar pelo departamento de recursos humanos da empresa, anunciando o portal de bônus e serviços governamentais.

Em ambos os casos, o objetivo era implantar um downloader de malware (RedCurl.InitialDropper) escondido em um anexo no computador do funcionário que poderia iniciar a próxima fase do ataque.

Durante a investigação, o Group-IB descobriu que o RedCurl estendeu a cadeia de ataque para cinco etapas, das três ou quatro etapas mencionadas acima.

Os hackers tiveram o cuidado de não levantar suspeitas quando o destinatário abriu o documento malicioso que lançou o dropper inicial, então eles incluíram um arquivo de isca bem elaborado contendo conteúdo relacionado à organização.

O dropper recuperou a ferramenta RedCurl.Downloader, que coletava informações sobre a máquina infectada e as entregava a um servidor de comando e controle (C2) e também iniciava o próximo estágio do ataque.

Conjunto de ferramentas atualizado

O Group-IB descobriu que os hackers agora estavam usando o RedCurl.Extractor, uma versão modificada do RedCurl.Dropper que eles encontraram em ataques anteriores desse agente de ameaça.

O objetivo dessa ferramenta era apenas preparar para a fase final do ataque, que envolvia alcançar a persistência no sistema.

Os pesquisadores observam que o RedCurl passou do uso típico de scripts em lote e PowerShell para arquivos executáveis, e que o software antivírus não conseguiu detectar a infecção inicial ou o invasor se moveu de lado na rede da vítima.

No entanto, as melhorias no conjunto de ferramentas RedCurl parecem ter sido apressadas, pois o Group-IB descobriu um erro lógico em um dos comandos. Uma explicação é que o grupo teve pouco tempo para iniciar o ataque e não conseguiu testar adequadamente suas ferramentas.

O Group-IB publicou hoje um relatório com indicadores de remuneração e informações técnicas sobre o conjunto de ferramentas RedCurl atualizado e sua funcionalidade:

  • RedCurl.InitialDropper – arquivo LNK usado no estágio inicial de infecção, baixa C2 PowerShell ou script em lote que obtém malware para a próxima etapa
  • RedCurl.Downloader (nova ferramenta) – downloader intermediário que coleta dados sobre o sistema infectado, baixa e distribui malware para a próxima etapa
  • RedCurl.Extractor – arquivo DLL equivalente ao RedCurl.Dropper, extrai o utilitário 7-Zip legítimo, baixa e instala o próximo passo de malware
  • RedCurl.FSABIN – equivalente binário do antigo RedCurl.FirstStageAgent, recebe comandos de servidores HTTP controlados por hackers
  • RedCurl.CHABIN1: um fork do FSABIN
  • RedCurl.CHABIN2 – Semelhante ao CHABIN1, determina as configurações do servidor proxy para conectar o sistema infectado a servidores controlados por hackers

Apesar de não ser tão ativo quanto em outros anos, o RedCurl mantém sua sofisticação e continua sendo um agente de ameaças avançado capaz de passar despercebido por meses.

O Grupo-IB diz que dos quatro ataques identificados este ano, dois foram contra o mesmo alvo. No entanto, eles esperam que mais vítimas apareçam, pois as ferramentas RedCurl atualizadas foram detectadas na natureza com mais frequência.

  • Agora você pode ver as letras das suas músicas no Spotify
  • Devo usar HTTPS ou SSH para Git?

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

O que é Aruba da HP?

A Aruba Networks, anteriormente conhecida como Aruba Wireless Networks, é uma subsidiária de rede sem fio da Hewlett Packard Enterprise Company com sede em Santa Clara, Califórnia. A empresa foi fundada em Sunnyvale, Califórnia, em 2002 por Keerti Melkote e Pankaj Manglik.

Como a Aruba Central é licenciada?

O Aruba Central é entregue na nuvem por meio de um modelo de licença de Software como Serviço (SaaS). Opções locais e como serviço também estão disponíveis para clientes qualificados por meio dos Serviços de Conectividade Gerenciada da Aruba .

Ir arriba