Введение
В ноябре 2022 года специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. проводили реагирование на инцидент в крупном российском банке. Атакующие пытались “пробить” его дважды — сначала через фишинговые рассылки по сотрудникам, а потом — через подрядчика. Последняя атака увенчалась успехом и внутри инфраструктуры финансового учреждения криминалисты обнаружили цифровые следы “старых знакомых” — преступной группы RedCurl.
Впервые эта хакерская группа, специализирующаяся на коммерческом шпионаже, была открыта экспертами департамента Threat Intelligence (тогда еще — Group-IB) в конце 2019 года и подробно описана в отчете “RedCurl. Пентест о котором вы не просили” от 2020 года. Год спустя был выпущен еще один отчет, рассказывающий про обширные изменения инструментов группы — “RedCurl. Пробуждение”.
За последние четыре с половиной года русскоязычная группа RedCurl, по данным F.A.C.C.T. провела не менее 34 атак на компании из Великобритании, Германии, Канады, Норвегии, Украины, Австралии. Больше половины атак — 20 — пришлось на Россию. Среди жертв кибершпионов оказались строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации. Мотив атакующих до сих пор остается неизменным — они охотятся за документами, представляющими коммерческую тайну и содержащие персональные данные сотрудников.
В этом исследовании речь пойдет о двух свежих атаках хак-группы RedCurl в ноябре 2022 и в мае 2023 года. «Фирменным стилем» RedСurl остается отправка фишинговых писем сотрудникам атакуемой компании, но на этот раз вместо писем-приманок от HR-департамента, атакующие рассылали предложения с корпоративными скидками от известного российского маркетплейса.
Методы RedCurl остаются уникальными для русскоязычной киберкриминальной сцены: первоначальное заражение, закрепление на устройстве, продвижение в сети, кража документов — все это осуществляется с помощью самописных и нескольких публичных инструментов. Несмотря на высокий уровень контроля сети жертвы, группа не занимается шифрованием, не выводит деньги со счетов. Ее задача — как можно незаметнее добыть ценные сведения.
В этом блоге будет подробно рассмотрен новый паттерн атак, а также инструменты, используемые RedCurl, в том числе в контексте сравнения с теми, что уже попадали в поле зрения исследователей. Отметим, что инструменты и методы хак-группы продолжают развиваться и модернизироваться, образуя единую длинную цепочку, что несет ощутимые риски для компаний.
Выражаем благодарность Андрею Жданову за значительный вклад в создание блога.
Ключевые находки
Осенью 2022 года RedCurl провели успешную атаку по типу Supply Chain на крупный российский банк из перечня системно значимых кредитных организаций.
- В фишинговых рассылках кибершпионы использовали бренд известного российского маркетплейса.
- Обнаружен новый инструмент RedCurl.SimpleDownloader, адаптированный под кампанию.
- RedCurl обновила уже известные инструменты.
- Во время работы над блогом (июнь-июль 2023) была обнаружена новая атака RedCurl, направленная на неизвестную австралийскую организацию с использованием бренда международной компании по перевозке грузов. Шаблон атаки совпадает с шаблоном, описанным в этом исследовании.
Цепочка заражения
Цепочку заражения, используемую RedCurl для атаки на российский банк в ноябре 2023 года, можно изобразить следующим образом:
Первоначальный доступ
Шаблон атаки
В ноябре 2022 года решением F.A.C.C.T. Business Email Protection была зафиксирована и заблокирована массовая (несколько десятков писем) фишинговая рассылка, направленная на сотрудников крупного российского банка. Благодаря решению ни одно из отправленных фишинговых писем не дошло до адресатов.
Попробуйте Business Email Protection от F.A.C.C.T.
Проактивная ликвидация угроз для корпоративной электронной почты с помощью решения Business Email Protection от F.A.C.C.T.
В письмах-приманках, направленных от имени известного российского маркетплейса, сотрудникам банка предлагали корпоративную скидку в 25%, а для ее получения нужно было перейти по указанной в письме ссылке на “каталог”. При этом в тексте ссылки использовался реальный домен маркетплейса, а в адресе указан адрес сокращателя ссылок tinyurl[.]com.
При переходе по ссылке происходил редирект с сервиса укорачивания ссылок на ресурс ……….eap[.]byethost10[.]com, с которого загружался файл в формате .ISO или .IMG (для обхода механизма защиты Windows Mark-of-The-Web). В загруженном файле находился .LNK файл, имя которого совпадает с именем IMG/ISO-файла (RedCurl.LnkInfector, будет рассмотрен подробнее в части Инструменты), и скрытая директория, в которой находилось большое количество мусорных файлов с расширением .DLL и один действительный .DLL-файл — RedCurl.SimpleDownloader, который мы рассмотрим подробнее в части Инструменты).
В файле-ярлыке используется иконка документа Wordpad. При открытии пользователем LNK-файла происходит запуск RedCurl.SimpleDownloader через системную программу rundll32.exe с командной строкой rundll32.exe <hiden_dir>/<downloader_dll_name>,<exporting_function_name>.
Обходной маневр
Не добившись никаких результатов с фишинговой рассылкой на сотрудников банка, злоумышленники решили пойти другим путем, а именно использовать атаку типа Supply Chain (атаку на цепочку поставок) на подрядчика банка. Вектор атаки нам неизвестен, однако, предположительно он был тем же, то есть через фишинговое письмо. Получив доступ к машине сотрудника компании-подрядчика, злоумышленники инфицировали расположенный на общем сетевом диске 7z-архив, содержащий большое количество документов клиента.
Инфицирование заключалось в присвоении одному из расположенных в этом архиве файлов атрибута скрытого файла, создании одноименного LNK-ярлыка и размещении в архиве вредоносной программы RedCurl.Extractor.
LNK-инфектор
При открытии файла 12.lnk осуществлялся запуск системной утилиты rundll32.exe с командной строкой shell32.dll,Control_RunDLL .\349a1c90-8151-4ad6-936d-0263f47a9356.tmp ‑file=12.pdf. В результате чего происходил запуск RedCurl.Extractor (файл 349a1c90-8151-4ad6-936d-0263f47a9356.tmp), задачей которого является установка расположенной в ее теле программы-агента RedCurl.FSABIN. В файле ярлыке используется иконка PDF-файла из приложения %PROGRAMFILES(X86)%\Microsoft\Edge\Application\msedge.exe. Этот LNK-файл был создан неизвестным модулем RedCurl на доступном сетевом ресурсе локальной сети. Оригинальный размер 12.lnk составляет 2 080 байт, в конец файла дописаны данные размером 546 709 байт. Указанные данные имеют максимальное значение энтропии Шеннона – 8 (мера неопределённости,непредсказуемая информация, связанная со случайной величиной), возможно, данные зашифрованы или являются случайными. Установить их природу по имеющейся информации не представляется возможным.
Инструменты
RedCurl.SimpleDownloader
Первой после .IMG и .LNK файлов стадией заражения являлся загрузчик. Это новый инструмент в арсенале рассматриваемой группировки, заточенный под новую кампанию RedCurl, в которой в качестве приманки использовались всем известные бренды. Он представляет из себя DLL-файл с единственной экспортируемой функцией (в рассматриваемых кампаниях — ……CutPromo или …….Pre). Данный инструмент имеет небольшой вес (размер < 170 КБ) и функционально прост — весь функционал можно описать тремя пунктами:
- Отвлечение внимания пользователя открытием страницы https://www……..ru/highlight/globalpromo в браузере IE/MS Edge через вызов Win32 API функции ShellExecuteA с флагом «open».
- Загрузка файла следующей стадии.
- Создание отложенной задачи на запуск загруженного файла.
Примечательно, что в данном инструменте практически не переиспользуется код других инструментов RedCurl и отсутствует хоть какое-либо шифрование, что, как правило, характерно для инструментов этой группы, однако структуры-обертки над строками и функции работы с ними перекочевали и в RedCurl.SimpleDownloader.
Для загрузки следующей стадии данный файл совершает POST запрос к C2 (C2 RedCurl.SimpleDownloader:
Параметр запроса |
Май 2023 |
Ноябрь 2022 |
URL | hXXp://app-ins-001[.]amscloudhost[.]com/dn01/ | hXXp://…….send[.]onlinewebshop[.]net/dn/ |
User-Agent | Mozilla/5.0 (Windows NT; Windows NT 10.0;) WindowsPowerShell/5.1.20134.790 | |
Content-type | application/x-www-form-urlencoded |
Загруженный файл сохраняется в директорию %LOCALAPPDATA%\VirtualStore, созданную самим же загрузчиком, с именем chrminst_<b64_encoded_computer_name>.exe, где b64_encoded_computer_name — имя зараженного компьютера, закодированное в Base64. Далее загрузчик через COM-интерфейс ITaskService создает отложенную задачу на запуск загруженного файла со следующими параметрами:
Параметр |
Значение |
RegistrationInfo/Author | Google Corporation |
StartWhenAvailable | true |
DisallowStartIfOnBatteries | false |
AllowHardTerminate | false |
Trigger/TimeTrigger/StartBoundary | YYYY-MM-DDTHH:MM:SS Время создания задачи |
TriggerRepetion/Interval | PT1H (через каждый час с момента создания задачи) |
Action/Exec/Command | %LOCALAPPDATA%\VirtualStore\chrminst_<b64_encoded_computer_name>.exe |
Arguments | DOFBBdXC5DmPC для кампании мая 2023 и wvw9xaLVhETn1roSR для кампании ноября 2022 |
Внимание в этой задаче привлекают аргументы запуска, которые мы увидим в следующей стадии.
В процессе работы над этой статьей была обнаружена атака RedCurl на неизвестную австралийскую организацию. В ходе неё применялись такие же инструменты и такой же паттерн поведения, как и в майской и в ноябрьской кампаниях. По данной атаке можно сделать вывод, что RedCurl.SimpleDownloader продолжает дорабатываться. В кампаниях, нацеленных на российские организации, мы видели первую версию этого инструмента — она не имела никакой защиты от анализа и обнаружения. Однако версия этого инструмента, фигурирующая в новой атаке, обросла новым защитным функционалом — например, было добавлено шифрование строк алгоритмом AES-128 CBC. Функционал шифрования строк практически в неизменном виде перекочевал в RedCurl.SimpleDownloader из инструментов RedCurl.FSABIN и RedCurl.Downloader.
RedCurl.Downloader
Следующей стадией заражения является уже известный по нашему отчету «RedCurl. Пробуждение» RedCurl.Downloader. Данный файл загружается в формате EXE. Он претерпел ряд изменений с того времени — на них и сосредоточимся. Основные изменения коснулись части сетевого кода и защиты от отладки. Как и ранее, все строки в данном инструменте шифруются алгоритмом AES-128 CBC, где в качестве ключа используются первые 16 байт от SHA256 хеш-суммы конкатенации (операции склеивания объектов линейной структуры) двух строк — строки, передаваемой в качестве аргумента командной строки (как раз те, что записывались в параметр Arguments на предыдущей стадии) и строки, хранящейся в теле загрузчика:
SHA256(argument+body_hardcoded_string)[:16]
Перед началом работы загрузчик проверяет ряд условий:
- Количество логических процессоров должно быть более двух
- Размер физической памяти должен быть не менее 1 ГБ
- Размер физического диска должен быть не менее 90-99 ГБ (выбирается рандомно)
Скорее всего, так он исключает запуск в песочницах и виртуальных машинах. В случае невыполнения хотя бы одного из условий программа прекращает работу. После проверки на песочницу происходит проверка на работу под отладкой — первым рубежом выступает проверка времени, прошедшего с момента запуска ОС. В случае, если оно превышает 800-899 секунд загрузчик прекращает работу. Далее происходит проверка контекста запуска: для продолжения работы родительским процессом должен быть процесс taskeng.exe или svchost.exe. После проверок RedCurl.Downloader проверяет наличие сетевого соединения, как и ранее, путем HTTP GET запроса к случайно выбранному сетевому ресурсу из следующего списка:
- www.msn.com
- www.google.com
- www.yahoo.com
- www.google.co.uk
- duckduckgo.com
- www.wikipedia.org
- www.reddit.com
- www.bing.com
- www.amazon.com
- www.ebay.com
- www.microsoft.com
В случае, если код ответа равен 200, загрузчик собирает информацию о скомпрометированном устройстве:
- Имя зараженной машины
- Имя домена, в котором находится зараженная машина
- Список содержимого директорий %PROGRAMFILES%, %DESKTOP% и %LOCALAPPDATA%.
В теле RedCurl.Downloader имеются адреса двух C2 серверов в зашифрованном виде. Собранная информация поочередно отправляется на каждый из этих серверов POST запросом со следующими параметрами:
- User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246001
- Content-type: application/x-www-form-urlencoded
C2 URL:
# |
Май 2023 |
Ноябрь 2022 |
Июнь 2023 |
1 | hXXp://m-dn-001[.]amscloudhost[.]com/ | hXXp://buyhighroad[.]scienceontheweb[.]net | hXXp://l-dn-01.msftcloud[.]click |
2 | hXXp://m-dn-002[.]amscloudhost[.]com/ | hXXp://tdnmouse.atspace[.]eu | hXXp://l-dn-02.msftcloud[.]click |
При этом формат запроса почти не претерпел изменений относительно более ранних версий. Запрос выглядит следующим образом:
<rnd_str>=BASE64(%COMPUTERNAME%)&<rnd_str>=BASE64(%DOMAINNAME%)&<rnd_str>=BASE64(%USERNAME%)&<rnd_str>=<random_int>&<rnd_str>=BASE64('\r\n\r\n' + %LIST_OF_PROGRAMFILES% + '\r\n\r\n' + %LIST_OF_DESKTOP% + '\r\n\r\n' + %LIST_OF_LOCALAPPDATA% + '\r\n\r\n')&<rnd_str>=BASE64(%NEXT_STAGE_EXPORT_NAME%)
- rnd_str— случайная ASCII строка длиной от 5 до 19 символов
- COMPUTERNAME — имя зараженного компьютера
- DOMAINNAME — имя домена, в котором находится зараженный компьютер
- USERNAME — имя пользователя
- random_int — случайное число от 0 до 23
- LIST_OF_PROGRAMFILES — список файлов и директорий, расположенных в %PROGRAMFILES%
- LIST_OF_DESKTOP — список файлов и директорий, расположенных на рабочем столе
- LIST_OF_LOCALAPPDATA — список файлов и директорий, расположенных в %LOCALAPPDATA%
- NEXT_STAGE_EXPORT_NAME — новое поле, которое не фигурировало ранее — имя экспортируемой функции для DLL-файла следующей стадии.
Ответом на данный запрос может служить либо пустая «отбивка» с кодом 200, либо файл следующей стадии. Загрузчик определяет дальнейший образ действий исходя из размера полученных данных — если таковой меньше 10 байт — загрузчик завершает работу, в противном случае он сохраняет полученный файл со случайным именем в свою директорию и последовательностью Win32 API функций LoadLibraryA и GetProcAddress загружает этот файл в память своего процесса и вызывает экспортируемую функцию с именем %NEXT_STAGE_EXPORT_NAME% (например, в ноябрьской кампании в качестве имени экспортируемой функции выступала строка fxgtvbZKe, а в майской — yDNvu). После выполнения загруженный и сохраненный файл удаляется с диска. При этом перед выполнением следующей стадии загрузчик еще раз проверяет работу под отладчиком посредством вызова IsDebuggerPresent Win32 API функции.
RedCurl.Extractor
Следующей стадией заражения, загружаемой RedCurl.Downloader, является RedCurl.Extractor. К сожалению, нам пока не удалось получить образцы RedCurl.Extractor и RedCurl.FSABIN для майской кампании, поэтому будем рассматривать семплы, характерные для ноября 2022 года (они также хорошо ложатся на новый паттерн атак этой группировки). RedCurl.Extractor предназначен для установки на зараженный хост агента RedCurl.FSABIN и легитимной утилиты 7-Zip, хранящихся в его теле. Представители данного семейства ВПО выполнены в виде DLL-библиотек, в которых основная логика вынесена в единственную экспортируемую функцию. RedCurl.Extractor никак не взаимодействует с сетью — вся полезная нагрузка находится в его теле. Для защиты от обнаружения и анализа вся полезная нагрузка, находящаяся в теле данного ВПО, зашифрована алгоритмом AES-128 CBC, при этом в отличие от RedCurl.Downloader и RedCurl.FSABIN данные для генерации ключа расположены в самом файле. После расшифрования полезной нагрузки RedCurl.Extractor аналогично RedCurl.SimpleDownloader создает директорию, в которую сохраняет полезную нагрузку, и отложенную задачу через ITaskService. Имя создаваемой директории — %LOCALAPPDATA%\Microsoft\CalibrationColor. Параметры задачи:
Параметр |
Значение |
RegistrationInfo/Author | Microsoft Corporation |
StartWhenAvailable | true |
DisallowStartIfOnBatteries | false |
AllowHardTerminate | false |
Trigger/TimeTrigger/StartBoundary | YYYY-MM-DDTHH:MM:SS Время создания задачи |
TriggerRepetion/Interval | PT1H (через каждый час с момента создания задачи) |
Action/Exec/Command | %LOCALAPPDATA%\Microsoft\CalibrationColor\<AGENT_NAME> где AGENT_NAME – имя файла программы-агента RedCurl.FSABIN |
Actions/Exec/WorkingDirectory | %LOCALAPPDATA%\Microsoft\CalibrationColor |
Утилита 7-Zip и агент RedCurl.FSABIN сохраняются в указанную директорию с именами, соответствующими регулярному выражению [a-z]{2,3}[0-9a-z]{16}.exe . В качестве префиксов имен используются 2 или 3 символа латинского алфавита в нижнем регистре, количество символов и сами символы выбираются случайным образом для каждого модуля. В качестве остальных 16 символов имен файлов RedCurl.FSABIN и 7-Zip задействованы вторые половины hex-строк с хеш-суммами MD5 строк в кодировке ANSI с именем компьютера и именем текущего пользователя соответственно. Также RedCurl.Extractor создает файл с именем, соответствующим регулярке [0-9a-z]{8}.dat. В этот файл помещается строка, которая затем будет использоваться агентом RedCurl.FSABIN для генерации ключа для расшифровки своих данных.
RedCurl.FSABIN
Программа-агент RedCurl.FSABIN, которая предоставляет злоумышленнику удаленный контроль над зараженной машиной, практически идентична загрузчику RedCurl.Downloader. И ранее была заметна высокая степень сходства, но в новых кампаниях степень унификации была доведена до максимально возможной. Единственное, что отличает RedCurl.FSABIN от RedCurl.Downloader — это способ получения ключа для расшифровки своих данных и некоторые пункты в сетевом взаимодействии. Для большей наглядности вынесем различия между RedCurl.FSABIN и RedCurl.Extractor в таблицу:
Отличительная особенность |
RedCurl.FSABIN |
RedCurl.Downloader |
Отправляемые на C2 данные | Закодированные в Base64 имя пользователя и имя компьютера, вероятнее всего на стороне командно-контрольного сервера эти данные используются как уникальный идентификатор агента. | Закодированные в Base64 имя компьютера, имя пользователя, доменное имя и содержимое директорий %LOCALAPPDATA%, %PROGRAMFILES% и %DESKTOP%. Также имя экспортируемой функции для запуска DLL следующей стадии заражения. |
Получаемые от C2 данные | От первого командно-контрольного сервера агент получает зашифрованный BAT файл, от второго — данные для генерации ключа, которым пейлоад будет расшифрован, поэтому порядок запросов к C2 имеет определяющее значение. | PE файл (DLL) в незашифрованном виде. Не имеет значения порядок обращения к C2, т.е. полезная нагрузка может быть получена от любого командно-контрольного сервера и независимо от того, какой именно C2 отдал пейлоад он будет успешно запущен. |
Работа с полученной от C2 полезной нагрузкой | Расшифрование, сохранение на диск в директорию, в которой находится агент и запуск через Win32 API функцию ShellExecute полезной нагрузки в виде BAT файла | Сохранение полезной нагрузки на диск в директорию, в которой находится загрузчик, загрузка пейлоада в память своего процесса через Win32 API функцию LoadLibrary, вызов экспортируемой функции. Затем удаление загруженной от C2 DLL с диска. |
Выводы
После обнаружения группы RedCurl в 2019 году специалисты Threat Intelligence F.A.C.C.T. продолжают следить за каждым шагом кибершпионов. Исследование новых атак от ноября 2022 и мая 2023 года показало, что группа использует новые для них атаки типа supply chain и активно эксплуатирует в своих письмах-приманках известные бренды. RedCurl продолжает развиваться как в плане применяемых техник, так и в плане инструментов. В качестве примера такого развития можно выделить еще более высокую степень унификации RedCurl.FSABIN и RedCurl.Downloader -— в загрузчик мигрировали техники антиотладки и AntiVM, характерные ранее только для RedCurl.FSABIN Кроме того, появились новые инструменты, заточенные под конкретные кампании и т.д.. Мы видим, что основной подход преступной группы к разработке инструментов не изменился — это все также модульные, гибкие и легковесные программы, которые вместе составляют длинную и сложную цепочку заражения. Такая активность, безусловно, представляет опасность для российских компаний. Купировать подобные риски, каким-то одним решением, будь то защита почты, AV/EDR, IDPS и т.д. практически невозможно, для защиты от сложных угроз подобного плана необходим комплексный подход, что было показано кейсом с атакой на организацию через подрядчика.
Для защиты от ранее неизвестных целевых атак, подобных кампаниям группы RedCurl, организациям необходим комплексный подход к безопасности: автоматизированная защита электронной почты от фишинговых рассылок с помощью решения F.A.С.С.T. Business Email Protection (BEP), а также киберразведка F.A.C.C.T. Threat Intelligence.
В состав решения Managed XDR компании F.A.С.С.T. входит весь комплекс передовых технологических решений, способных в автоматизированном режиме остановить сложные целевые атаки:
- Endpoint Detection & Response (EDR)
- Network Traffic Analysis (NTA)
- Malware Detonation Platform (MDP)
- Business Email Protection (BEP)
- Threat Intelligence (TI)
- Managed Services (MS)
Усильте защиту от киберугроз с F.A.C.C.T. Threat Intelligence
Используйте уникальные данные киберразведки для проактивного предотвращения атак
Индикаторы компрометации
Кампания: май 2023
Имя файла: <название маркетплейса> Каталог спецпредложений.img
MD5: 9d7d79c17dab6ff01c5804866eb4c81d
SHA1: 7d01c27e827e02f32f12ada25da929fa911e965c
SHA256: e7b881cd106aefa6100d0e5f361e46e557e8f2372bd36cefe863607d19471a04
Кампания: май 2023
Имя файла: <название маркетплейса> Каталог спецпредложений.lnk
MD5: 46a7d14e899171a136f69782a5cbbe35
SHA1: a1cb733708debb4c51967bf56ca0a0f750156cfa
SHA256: 3bd054a5095806cd7e8392b749efa283735616ae8a0e707cdcc25654059bfe6b
Кампания: май 2023
Имя файла: mKdPDaed.dll
Семейство: RedCurl.SimpleDownloader
MD5: 6ece95df231083c37ecf9a39c324e2bb
SHA1: 1d1a59b1a3a9e5477ff6763ff97f90b52613932d
SHA256: 4188c953d784049dbd5be209e655d6d73f37435d9def71fd1edb4ed74a2f9e17
Кампания: май 2023
Имя файла: chrminst_<b64_encoded_computer_name>.exe
Семейство: RedCurl.Downloader
MD5: a7b515678444d3590acf45bfc508b784
SHA1: 1004309c4567b45f3ecc7219765a1584aff6deec
SHA256: e882e136fb56b10a1bc0691b7a7560d981d7d00abe59e15e3e85b89d90b461fa
Кампания: ноябрь 2022
Имя файла: <название маркетплейса> Корпоративные предложения.iso
MD5: 00dc05c9a887a972fe6040904ce34937
SHA1: 2879784ff893812213e11d712679e3fb006ac99e
SHA256: d2e1bb8ababa336297a3c7ffc4882b2a33659ed6c549c6a0df8a5ed84afd7e3c
Кампания: ноябрь 2022
Имя файла: <название маркетплейса>Корпоративные предложения.lnk
MD5: 7fd2a533dbf1a50f48d830c168bc901b
SHA1: 350c9700a5667e97b78eb54e0235957a5dbb08e8
SHA256: 06393bb2ef7bd7a6932463aba0a7b380a68f2e2902dda2938e87650d09f38b04
Кампания: ноябрь 2022
Имя файла: vUNfq1twSeR.dll
Семейство: RedCurl.SimpleDownloader
MD5: 8e4735922d2603c1df0f3fae4271fdf4
SHA1: 7ec919cb8ea81f9b2c382e4fcb84a97796396bfe
SHA256: c848903b22087c4f037103ea3ea00cfbbb6f682bac60e0b2bff36a38242798c4
Кампания: ноябрь 2022
Имя файла: chrminst_<b64_encoded_computer_name>.exe
Семейство: RedCurl.Downloader
MD5: 51ba3108516b2d30227e0d80bb9a5dda
SHA1: a30c313b6b072221d1a5d92c8669e01b491e9309
SHA256: c2025f23e333c5c3030afee647b509cbc41e3c1ccb7d5ee0a6e6dd9b67e17e60
Кампания: ноябрь 2022
Имя файла: 349a1c90-8151-4ad6-936d-0263f47a9356.tmp
Семейство: RedCurl.Extractor
MD5: a01c3614978eead50b432df5f774acb5
SHA1: ab32db7847e5e4020399963cbf746390017bb8e1
SHA256: baf4d0c2a23f208951321e767b80f42f752dd79e04bdcfec64a97cb92aa4caf6
Кампания: ноябрь 2022
Имя файла: fd3116d9c64ff2e5b7.exe
Семейство: RedCurl.FSABIN
MD5: f3ee2284890a60062f5368e362a6257e
SHA1: 9939f68875e6592a08a82a04bc9a493fcf7d5ba6
SHA256: 2bee152f88d58fb7561c47c19b7711b8446ddd8a53988981e2b9f0ad9c247c5f
Кампания: июнь 2023
Имя файла: <название компании-перевозчика> E724D4269D.img
MD5: e834b9ab51d89058bccdcc1f08ad7cda
SHA1: b78de4dbe050fe2a320c5e5b7bcd6000f7f455be
SHA256: 57e93d2fca14439cbd75a09f2e2cb7543522350a39025f5db96dbd24dddcacc8
Кампания: июнь 2023
Имя файла: <название компании-перевозчика> E724D4269D.lnk
MD5: 54f2742ab47c2beef37a622af4026f29
SHA1: 6eef78d1444ddc164bd3475118c83eb29413cc98
SHA256: b17bc74e356f7f6c45a3eb25b9dae364e5ff9d313800c2800c1044517839dfa5
Кампания: июнь 2023
Имя файла: h7Gjop1.dll
Семейство: RedCurl.SimpleDownloader
MD5: 2b3dda526117ddc74c6283d907fcba6c
SHA1: 646a935a52cbd175c4952aa9b1e1d89787f93985
SHA256: 1ea43ba4192fd793de5aa18d20b60f0821dfe201f531ea4d1739b96a35526e36
Кампания: июнь 2023
Имя файла: mfgspr_<b64_encoded_computer_name>.exe
Семейство: RedCurl.Downloader
MD5: a228abbbc4606dd1b64f029de905c8e8
SHA1: 61d31505561f0d01bfab58964e9e835ea5637700
SHA256: 2c924c954a579c71a80fd002c46ba2c6185a2936b4b3dc6752028485280f8852
Кампания: май 2023
URL: hXXp://app-ins-001.amscloudhost.com/dn01
Комментарий: RedCurl.SimpleDownloader C2
Кампания: май 2023
URL: hXXp://m-dn-001.amscloudhost.com/
Комментарий: RedCurl.Downloader C2
Кампания: май 2023
URL: hXXp://m-dn-002.amscloudhost.com/
Комментарий: RedCurl.Downloader C2
Кампания: ноябрь 2022
URL: hXXp://buyhighroad[.]scienceontheweb[.]net
Комментарий: RedCurl.Downloader C2
Кампания: ноябрь 2022
URL: hXXp://tdnmouse.atspace[.]eu
Комментарий: RedCurl.Downloader C2
Кампания: ноябрь 2022
URL: hXXp://earthmart.c1[.]biz
Комментарий: RedCurl.FSABIN C2
Кампания: ноябрь 2022
URL: hXXp://worldhome.mypressonline[.]com
Комментарий: RedCurl.FSABIN C2
Кампания: июнь 2023
URL: hXXp://app-l01.msftcloud[.]click/ldn07_dhl_au/
Комментарий: RedCurl.SimpleDownloader C2
Кампания: июнь 2023
URL: hXXp://l-dn-01.msftcloud[.]click
Комментарий: RedCurl.Downloader C2
Кампания: июнь 2023
URL: hXXp://l-dn-02.msftcloud[.]click
Комментарий: RedCurl.Downloader C2