Кудри примелькались: кибершпионы из RedCurl атаковали банк от имени популярного маркетплейса | Блог F.A.C.C.T.

Введение

В ноябре 2022 года специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. проводили реагирование на инцидент в крупном российском банке. Атакующие пытались “пробить” его дважды — сначала через фишинговые рассылки по сотрудникам, а потом — через подрядчика. Последняя атака увенчалась успехом и внутри инфраструктуры финансового учреждения криминалисты обнаружили цифровые следы “старых знакомых” — преступной группы RedCurl.

Впервые эта хакерская группа, специализирующаяся на коммерческом шпионаже, была открыта экспертами департамента Threat Intelligence (тогда еще — Group-IB) в конце 2019 года и подробно описана в отчете “RedCurl. Пентест о котором вы не просили” от 2020 года. Год спустя был выпущен еще один отчет, рассказывающий про обширные изменения инструментов группы — “RedCurl. Пробуждение”.

За последние четыре с половиной года русскоязычная группа RedCurl, по данным F.A.C.C.T.  провела не менее 34 атак на компании из Великобритании, Германии, Канады, Норвегии, Украины, Австралии. Больше половины атак — 20 — пришлось на Россию. Среди жертв кибершпионов оказались строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации. Мотив атакующих до сих пор остается неизменным — они охотятся за документами, представляющими коммерческую тайну и содержащие персональные данные сотрудников.

В этом исследовании речь пойдет о двух свежих атаках хак-группы RedCurl в ноябре 2022 и в мае 2023 года. «Фирменным стилем» RedСurl остается отправка фишинговых писем сотрудникам атакуемой компании, но на этот раз вместо писем-приманок от HR-департамента, атакующие рассылали предложения с корпоративными скидками от известного российского маркетплейса.

Таймлайн атак группы RedCurl

Рис. 1 Таймлайн атак группы RedCurl

Методы RedCurl остаются уникальными для русскоязычной киберкриминальной сцены: первоначальное заражение, закрепление на устройстве, продвижение в сети, кража документов — все это осуществляется с помощью самописных и нескольких публичных инструментов. Несмотря на высокий уровень контроля сети жертвы, группа не занимается шифрованием, не выводит деньги со счетов. Ее задача — как можно незаметнее добыть ценные сведения.

В этом блоге будет подробно рассмотрен новый паттерн атак, а также инструменты, используемые RedCurl, в том числе в контексте сравнения с теми, что уже попадали в поле зрения исследователей. Отметим, что инструменты и методы хак-группы продолжают развиваться и модернизироваться, образуя единую длинную цепочку, что несет ощутимые риски для компаний.

Выражаем благодарность Андрею Жданову за значительный вклад в создание блога.

Ключевые находки

Осенью 2022 года RedCurl провели успешную атаку по типу Supply Chain на крупный российский банк из перечня системно значимых кредитных организаций.

  • В фишинговых рассылках кибершпионы использовали бренд известного российского маркетплейса.
  • Обнаружен новый инструмент RedCurl.SimpleDownloader, адаптированный под кампанию.
  • RedCurl обновила уже известные инструменты.
  • Во время работы над блогом (июнь-июль 2023) была обнаружена новая атака RedCurl, направленная на неизвестную австралийскую организацию с использованием бренда международной компании по перевозке грузов. Шаблон атаки совпадает с шаблоном, описанным в этом исследовании.

Цепочка заражения

Цепочку заражения, используемую RedCurl для атаки на российский банк в ноябре 2023 года, можно изобразить следующим образом:

Схематичное представление цепочки заражения

Рис. 2 RedCurl: Цепочка заражения в кампаниях 2022-2023 гг

Первоначальный доступ

Шаблон атаки

В ноябре 2022 года решением F.A.C.C.T. Business Email Protection была зафиксирована и заблокирована массовая (несколько десятков писем) фишинговая рассылка, направленная на сотрудников крупного российского банка.  Благодаря решению ни одно из отправленных фишинговых писем не дошло до адресатов.

Заблокированная вредоносная рассылка RedCurl

Рис.3 Заблокированная решением Business Email Protection вредоносная рассылка RedCurl

Попробуйте Business Email Protection от F.A.C.C.T.

Проактивная ликвидация угроз для корпоративной электронной почты с помощью решения Business Email Protection от F.A.C.C.T.

В письмах-приманках, направленных от имени известного российского маркетплейса, сотрудникам банка предлагали корпоративную скидку в 25%, а для ее получения нужно было перейти по указанной в письме ссылке на “каталог”. При этом в тексте ссылки использовался реальный домен маркетплейса, а в адресе указан адрес сокращателя ссылок tinyurl[.]com.

Пример фишингового письма, характерного для новой кампании RedCurl

Рис.4 Пример фишингового письма, характерного для новой кампании RedCurl

При переходе по ссылке происходил редирект с сервиса укорачивания ссылок на ресурс ……….eap[.]byethost10[.]com, с которого загружался файл в формате .ISO или .IMG (для обхода механизма защиты Windows Mark-of-The-Web). В загруженном файле находился .LNK файл, имя которого совпадает с именем IMG/ISO-файла (RedCurl.LnkInfector, будет рассмотрен подробнее в части Инструменты), и скрытая директория, в которой находилось большое количество мусорных файлов с расширением .DLL и один действительный .DLL-файл — RedCurl.SimpleDownloader, который мы рассмотрим подробнее в части Инструменты).

В файле-ярлыке используется иконка документа Wordpad. При открытии пользователем LNK-файла происходит запуск RedCurl.SimpleDownloader через системную программу rundll32.exe с командной строкой rundll32.exe <hiden_dir>/<downloader_dll_name>,<exporting_function_name>.

 Обходной маневр

Не добившись никаких результатов с фишинговой рассылкой на сотрудников банка, злоумышленники решили пойти другим путем, а именно использовать атаку типа Supply Chain (атаку на цепочку поставок) на подрядчика банка. Вектор атаки нам неизвестен, однако, предположительно он был тем же, то есть через фишинговое письмо. Получив доступ к машине сотрудника компании-подрядчика, злоумышленники инфицировали расположенный на общем сетевом диске 7z-архив, содержащий большое количество документов клиента.

Содержимое архива RedCurl

Рис.7 Содержимое архива

Инфицирование заключалось в присвоении одному из расположенных в этом архиве файлов атрибута скрытого файла, создании одноименного LNK-ярлыка и размещении в архиве вредоносной программы RedCurl.Extractor.

LNK-инфектор

При открытии файла 12.lnk осуществлялся запуск системной утилиты rundll32.exe с командной строкой shell32.dll,Control_RunDLL .\349a1c90-8151-4ad6-936d-0263f47a9356.tmp ‑file=12.pdf. В результате чего происходил запуск RedCurl.Extractor (файл 349a1c90-8151-4ad6-936d-0263f47a9356.tmp), задачей которого является установка расположенной в ее теле программы-агента RedCurl.FSABIN. В файле ярлыке используется иконка PDF-файла из приложения %PROGRAMFILES(X86)%\Microsoft\Edge\Application\msedge.exe. Этот LNK-файл был создан неизвестным модулем RedCurl на доступном сетевом ресурсе локальной сети. Оригинальный размер 12.lnk составляет 2 080 байт, в конец файла дописаны данные размером 546 709 байт. Указанные данные имеют максимальное значение энтропии Шеннона – 8 (мера неопределённости,непредсказуемая информация, связанная со случайной величиной), возможно, данные зашифрованы или являются случайными. Установить их природу по имеющейся информации не представляется возможным.

Инструменты

RedCurl.SimpleDownloader

Первой после .IMG и .LNK файлов стадией заражения являлся загрузчик. Это новый инструмент в арсенале рассматриваемой группировки, заточенный под новую кампанию RedCurl, в которой в качестве приманки использовались всем известные бренды. Он представляет из себя DLL-файл с единственной экспортируемой функцией (в рассматриваемых кампаниях — ……CutPromo или …….Pre). Данный инструмент имеет небольшой вес (размер < 170 КБ) и функционально прост — весь функционал можно описать тремя пунктами:

  1. Отвлечение внимания пользователя открытием страницы https://www……..ru/highlight/globalpromo в браузере IE/MS Edge через вызов Win32 API функции ShellExecuteA с флагом «open».
  2. Загрузка файла следующей стадии.
  3. Создание отложенной задачи на запуск загруженного файла.
Код экспортируемой функции RedCurl.SimpleDownloader

Рис.8 Код экспортируемой функции RedCurl.SimpleDownloader

Примечательно, что в данном инструменте практически не переиспользуется код других инструментов RedCurl и отсутствует хоть какое-либо шифрование, что, как правило, характерно для инструментов этой группы, однако структуры-обертки над строками и функции работы с ними перекочевали и в RedCurl.SimpleDownloader.

Для загрузки следующей стадии данный файл совершает POST запрос к C2 (C2 RedCurl.SimpleDownloader:

Параметр запроса

Май 2023

Ноябрь 2022

URL hXXp://app-ins-001[.]amscloudhost[.]com/dn01/ hXXp://…….send[.]onlinewebshop[.]net/dn/
User-Agent Mozilla/5.0 (Windows NT; Windows NT 10.0;) WindowsPowerShell/5.1.20134.790
Content-type application/x-www-form-urlencoded

Загруженный файл сохраняется в директорию %LOCALAPPDATA%\VirtualStore, созданную самим же загрузчиком, с именем chrminst_<b64_encoded_computer_name>.exe, где b64_encoded_computer_name — имя зараженного компьютера, закодированное в Base64. Далее загрузчик через COM-интерфейс ITaskService создает отложенную задачу на запуск загруженного файла со следующими параметрами:

Параметр

Значение

RegistrationInfo/Author Google Corporation
StartWhenAvailable true
DisallowStartIfOnBatteries false
AllowHardTerminate false
Trigger/TimeTrigger/StartBoundary YYYY-MM-DDTHH:MM:SS Время создания задачи
TriggerRepetion/Interval PT1H (через каждый час с момента создания задачи)
Action/Exec/Command %LOCALAPPDATA%\VirtualStore\chrminst_<b64_encoded_computer_name>.exe
Arguments DOFBBdXC5DmPC для кампании мая 2023 и wvw9xaLVhETn1roSR для кампании ноября 2022

Внимание в этой задаче привлекают аргументы запуска, которые мы увидим в следующей стадии.

В процессе работы над этой статьей была обнаружена атака RedCurl на неизвестную австралийскую организацию. В ходе неё применялись такие же инструменты и такой же паттерн поведения, как и в майской и в ноябрьской кампаниях. По данной атаке можно сделать вывод, что RedCurl.SimpleDownloader продолжает дорабатываться. В кампаниях, нацеленных на российские организации, мы видели первую версию этого инструмента — она не имела никакой защиты от анализа и обнаружения. Однако версия этого инструмента, фигурирующая в новой атаке, обросла новым защитным функционалом — например, было добавлено шифрование строк алгоритмом AES-128 CBC. Функционал шифрования строк практически в неизменном виде перекочевал в RedCurl.SimpleDownloader из инструментов RedCurl.FSABIN и RedCurl.Downloader.

RedCurl.Downloader

Следующей стадией заражения является уже известный по нашему отчету «RedCurl. Пробуждение» RedCurl.Downloader. Данный файл загружается в формате EXE. Он претерпел ряд изменений с того времени — на них и сосредоточимся. Основные изменения коснулись части сетевого кода и защиты от отладки. Как и ранее, все строки в данном инструменте шифруются алгоритмом AES-128 CBC, где в качестве ключа используются первые 16 байт от SHA256 хеш-суммы конкатенации (операции склеивания объектов линейной структуры)  двух строк — строки, передаваемой в качестве аргумента командной строки (как раз те, что записывались в параметр Arguments на предыдущей стадии) и строки, хранящейся в теле загрузчика:

SHA256(argument+body_hardcoded_string)[:16]

Код расшифровки строк RedCurl.Downloader

Рис.9 Код расшифровки строк RedCurl.Downloader. Красной рамкой выделена часть строки, из которой путем конкатенации получается ключ (май 2023)

Перед началом работы загрузчик проверяет ряд условий:

  1. Количество логических процессоров должно быть более двух
  2. Размер физической памяти должен быть не менее 1 ГБ
  3. Размер физического диска должен быть не менее 90-99 ГБ (выбирается рандомно)

Скорее всего, так он исключает запуск в песочницах и виртуальных машинах. В случае невыполнения хотя бы одного из условий программа прекращает работу. После проверки на песочницу происходит проверка на работу под отладкой — первым рубежом выступает проверка времени, прошедшего с момента запуска ОС. В случае, если оно превышает 800-899 секунд загрузчик прекращает работу. Далее происходит проверка контекста запуска: для продолжения работы родительским процессом должен быть процесс taskeng.exe или svchost.exe. После проверок RedCurl.Downloader проверяет наличие сетевого соединения, как и ранее, путем HTTP GET запроса к случайно выбранному сетевому ресурсу из следующего списка:

  • www.msn.com
  • www.google.com
  • www.yahoo.com
  • www.google.co.uk
  • duckduckgo.com
  • www.wikipedia.org
  • www.reddit.com
  • www.bing.com
  • www.amazon.com
  • www.ebay.com
  • www.microsoft.com

В случае, если код ответа равен 200, загрузчик собирает информацию о скомпрометированном устройстве:

  1. Имя зараженной машины
  2. Имя домена, в котором находится зараженная машина
  3. Список содержимого директорий %PROGRAMFILES%, %DESKTOP% и %LOCALAPPDATA%.

В теле RedCurl.Downloader имеются адреса двух C2 серверов в зашифрованном виде. Собранная информация поочередно отправляется на каждый из этих серверов POST запросом со следующими параметрами:

  •  User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246001
  • Content-type: application/x-www-form-urlencoded

C2 URL:

#

Май 2023

Ноябрь 2022

Июнь 2023

1 hXXp://m-dn-001[.]amscloudhost[.]com/ hXXp://buyhighroad[.]scienceontheweb[.]net hXXp://l-dn-01.msftcloud[.]click
2 hXXp://m-dn-002[.]amscloudhost[.]com/ hXXp://tdnmouse.atspace[.]eu hXXp://l-dn-02.msftcloud[.]click

При этом формат запроса почти не претерпел изменений относительно более ранних версий. Запрос выглядит следующим образом:

<rnd_str>=BASE64(%COMPUTERNAME%)&<rnd_str>=BASE64(%DOMAINNAME%)&<rnd_str>=BASE64(%USERNAME%)&<rnd_str>=<random_int>&<rnd_str>=BASE64('\r\n\r\n' + %LIST_OF_PROGRAMFILES% + '\r\n\r\n' + %LIST_OF_DESKTOP% + '\r\n\r\n' + %LIST_OF_LOCALAPPDATA% + '\r\n\r\n')&<rnd_str>=BASE64(%NEXT_STAGE_EXPORT_NAME%)
  • rnd_str— случайная ASCII строка длиной от 5 до 19 символов
  • COMPUTERNAME  — имя зараженного компьютера
  • DOMAINNAME  — имя домена, в котором находится зараженный компьютер
  • USERNAME  — имя пользователя
  • random_int  — случайное число от 0 до 23
  • LIST_OF_PROGRAMFILES  — список файлов и директорий, расположенных в %PROGRAMFILES%
  • LIST_OF_DESKTOP  — список файлов и директорий, расположенных на рабочем столе
  • LIST_OF_LOCALAPPDATA  — список файлов и директорий, расположенных в %LOCALAPPDATA%
  • NEXT_STAGE_EXPORT_NAME  — новое поле, которое не фигурировало ранее — имя экспортируемой функции для DLL-файла следующей стадии.
Сессия коммуникации RedCurl.Downloader с C2

Рис.10 Сессия коммуникации RedCurl.Downloader с C2

Ответом на данный запрос может служить либо пустая «отбивка» с кодом 200, либо файл следующей стадии. Загрузчик определяет дальнейший образ действий исходя  из размера полученных данных — если таковой меньше 10 байт — загрузчик завершает работу, в противном случае он сохраняет полученный файл со случайным именем в свою директорию и последовательностью Win32 API функций LoadLibraryA и GetProcAddress загружает этот файл в память своего процесса и вызывает экспортируемую функцию с именем %NEXT_STAGE_EXPORT_NAME% (например, в ноябрьской кампании в качестве имени экспортируемой функции выступала строка fxgtvbZKe, а в майской — yDNvu). После выполнения загруженный и сохраненный файл удаляется с диска. При этом перед выполнением следующей стадии загрузчик еще раз проверяет работу под отладчиком посредством вызова IsDebuggerPresent Win32 API функции.

RedCurl.Extractor

Следующей стадией заражения, загружаемой RedCurl.Downloader, является RedCurl.Extractor. К сожалению, нам пока не удалось получить образцы RedCurl.Extractor и RedCurl.FSABIN для майской кампании, поэтому будем рассматривать семплы, характерные для ноября 2022 года (они также хорошо ложатся на новый паттерн атак этой группировки). RedCurl.Extractor предназначен для установки на зараженный хост агента RedCurl.FSABIN и легитимной утилиты 7-Zip, хранящихся в его теле. Представители данного семейства ВПО выполнены в виде DLL-библиотек, в которых основная логика вынесена в единственную экспортируемую функцию. RedCurl.Extractor никак не взаимодействует с сетью — вся полезная нагрузка находится в его теле. Для защиты от обнаружения и анализа  вся полезная нагрузка, находящаяся в теле данного ВПО, зашифрована алгоритмом AES-128 CBC, при этом в отличие от RedCurl.Downloader и RedCurl.FSABIN данные для генерации ключа расположены в самом файле. После расшифрования полезной нагрузки RedCurl.Extractor аналогично RedCurl.SimpleDownloader создает директорию, в которую сохраняет полезную нагрузку, и отложенную задачу через ITaskService. Имя создаваемой директории — %LOCALAPPDATA%\Microsoft\CalibrationColor. Параметры задачи:

Параметр

Значение

RegistrationInfo/Author Microsoft Corporation
StartWhenAvailable true
DisallowStartIfOnBatteries false
AllowHardTerminate false
Trigger/TimeTrigger/StartBoundary YYYY-MM-DDTHH:MM:SS Время создания задачи
TriggerRepetion/Interval PT1H (через каждый час с момента создания задачи)
Action/Exec/Command %LOCALAPPDATA%\Microsoft\CalibrationColor\<AGENT_NAME> где AGENT_NAME – имя файла программы-агента RedCurl.FSABIN
Actions/Exec/WorkingDirectory %LOCALAPPDATA%\Microsoft\CalibrationColor

Утилита 7-Zip и агент RedCurl.FSABIN сохраняются в указанную директорию с именами, соответствующими регулярному выражению [a-z]{2,3}[0-9a-z]{16}.exe . В качестве префиксов имен используются 2 или 3 символа латинского алфавита в нижнем регистре, количество символов и сами символы выбираются случайным образом для каждого модуля. В качестве остальных 16 символов имен файлов RedCurl.FSABIN и 7-Zip задействованы вторые половины hex-строк с хеш-суммами MD5 строк в кодировке ANSI с именем компьютера и именем текущего пользователя соответственно. Также RedCurl.Extractor создает файл с именем, соответствующим регулярке [0-9a-z]{8}.dat. В этот файл помещается строка, которая затем будет использоваться агентом RedCurl.FSABIN для генерации ключа для расшифровки своих данных.

RedCurl.FSABIN

Программа-агент RedCurl.FSABIN, которая предоставляет злоумышленнику удаленный контроль над зараженной машиной, практически идентична загрузчику RedCurl.Downloader. И ранее была заметна высокая степень сходства, но в новых кампаниях степень унификации была доведена до максимально возможной. Единственное, что отличает RedCurl.FSABIN от RedCurl.Downloader — это способ получения ключа для расшифровки своих данных и некоторые пункты в сетевом взаимодействии. Для большей наглядности вынесем различия между RedCurl.FSABIN и RedCurl.Extractor в таблицу:

Отличительная особенность

RedCurl.FSABIN

RedCurl.Downloader

Отправляемые на C2 данные Закодированные в Base64 имя пользователя и имя компьютера, вероятнее всего на стороне командно-контрольного сервера эти данные используются как уникальный идентификатор агента. Закодированные в Base64 имя компьютера, имя пользователя, доменное имя и содержимое директорий %LOCALAPPDATA%, %PROGRAMFILES% и %DESKTOP%. Также имя экспортируемой функции для запуска DLL следующей стадии заражения.
Получаемые от C2 данные От первого командно-контрольного сервера агент получает зашифрованный BAT файл, от второго — данные для генерации ключа, которым пейлоад будет расшифрован, поэтому порядок запросов к C2 имеет определяющее значение. PE файл (DLL) в незашифрованном виде. Не имеет значения порядок обращения к C2, т.е. полезная нагрузка может быть получена от любого командно-контрольного сервера и независимо от того, какой именно C2 отдал пейлоад он будет успешно запущен.
Работа с полученной от C2 полезной нагрузкой Расшифрование, сохранение на диск в директорию, в которой находится агент и запуск через Win32 API функцию ShellExecute полезной нагрузки в виде BAT файла Сохранение полезной нагрузки на диск в директорию, в которой находится загрузчик, загрузка пейлоада в память своего процесса через Win32 API функцию LoadLibrary, вызов экспортируемой функции. Затем удаление загруженной от C2 DLL с диска.

Выводы

После обнаружения группы RedCurl в 2019 году специалисты Threat Intelligence F.A.C.C.T. продолжают следить за каждым шагом кибершпионов.  Исследование новых атак от ноября 2022 и мая 2023 года показало, что группа использует новые для них атаки типа supply chain и активно эксплуатирует в своих письмах-приманках известные бренды. RedCurl продолжает развиваться как в плане применяемых техник, так и в плане инструментов. В качестве примера такого развития можно выделить еще более высокую степень унификации RedCurl.FSABIN и RedCurl.Downloader -— в загрузчик мигрировали техники антиотладки и AntiVM, характерные ранее только для RedCurl.FSABIN Кроме того, появились новые инструменты, заточенные под конкретные кампании и т.д.. Мы видим, что основной подход преступной группы к разработке инструментов не изменился — это все также модульные, гибкие и легковесные программы, которые вместе составляют длинную и сложную цепочку заражения. Такая активность, безусловно, представляет опасность для российских компаний. Купировать подобные риски, каким-то одним решением, будь то защита почты, AV/EDR, IDPS и т.д. практически невозможно, для защиты от сложных угроз подобного плана необходим комплексный подход, что было показано кейсом с атакой на организацию через подрядчика.

Для защиты от ранее неизвестных целевых атак, подобных кампаниям группы RedCurl, организациям необходим комплексный подход к безопасности: автоматизированная защита электронной почты от фишинговых рассылок с помощью решения F.A.С.С.T. Business Email Protection (BEP), а также киберразведка F.A.C.C.T. Threat Intelligence.

В состав решения Managed XDR компании F.A.С.С.T. входит весь комплекс передовых технологических решений, способных в автоматизированном режиме остановить сложные целевые атаки:

  • Endpoint Detection & Response (EDR)
  • Network Traffic Analysis (NTA)
  • Malware Detonation Platform (MDP)
  • Business Email Protection (BEP)
  • Threat Intelligence (TI)
  • Managed Services (MS)

Усильте защиту от киберугроз с F.A.C.C.T. Threat Intelligence

Используйте уникальные данные киберразведки для проактивного предотвращения атак

Индикаторы компрометации

Файловые индикаторы
arrow_drop_down

Кампания: май 2023

Имя файла: <название маркетплейса> Каталог спецпредложений.img

MD5: 9d7d79c17dab6ff01c5804866eb4c81d

SHA1: 7d01c27e827e02f32f12ada25da929fa911e965c

SHA256: e7b881cd106aefa6100d0e5f361e46e557e8f2372bd36cefe863607d19471a04

 

Кампания: май 2023

Имя файла: <название маркетплейса> Каталог спецпредложений.lnk

MD5: 46a7d14e899171a136f69782a5cbbe35

SHA1: a1cb733708debb4c51967bf56ca0a0f750156cfa

SHA256: 3bd054a5095806cd7e8392b749efa283735616ae8a0e707cdcc25654059bfe6b

 

Кампания: май 2023

Имя файла: mKdPDaed.dll

Семейство: RedCurl.SimpleDownloader

MD5: 6ece95df231083c37ecf9a39c324e2bb

SHA1: 1d1a59b1a3a9e5477ff6763ff97f90b52613932d

SHA256: 4188c953d784049dbd5be209e655d6d73f37435d9def71fd1edb4ed74a2f9e17

 

Кампания: май 2023

Имя файла: chrminst_<b64_encoded_computer_name>.exe

Семейство: RedCurl.Downloader

MD5: a7b515678444d3590acf45bfc508b784

SHA1: 1004309c4567b45f3ecc7219765a1584aff6deec

SHA256: e882e136fb56b10a1bc0691b7a7560d981d7d00abe59e15e3e85b89d90b461fa

 

Кампания: ноябрь 2022

Имя файла: <название маркетплейса> Корпоративные предложения.iso

MD5: 00dc05c9a887a972fe6040904ce34937

SHA1: 2879784ff893812213e11d712679e3fb006ac99e

SHA256: d2e1bb8ababa336297a3c7ffc4882b2a33659ed6c549c6a0df8a5ed84afd7e3c

 

Кампания: ноябрь 2022

Имя файла: <название маркетплейса>Корпоративные предложения.lnk

MD5: 7fd2a533dbf1a50f48d830c168bc901b

SHA1: 350c9700a5667e97b78eb54e0235957a5dbb08e8

SHA256: 06393bb2ef7bd7a6932463aba0a7b380a68f2e2902dda2938e87650d09f38b04

 

Кампания: ноябрь 2022

Имя файла: vUNfq1twSeR.dll

Семейство: RedCurl.SimpleDownloader

MD5: 8e4735922d2603c1df0f3fae4271fdf4

SHA1: 7ec919cb8ea81f9b2c382e4fcb84a97796396bfe

SHA256: c848903b22087c4f037103ea3ea00cfbbb6f682bac60e0b2bff36a38242798c4

 

Кампания: ноябрь 2022

Имя файла: chrminst_<b64_encoded_computer_name>.exe

Семейство: RedCurl.Downloader

MD5: 51ba3108516b2d30227e0d80bb9a5dda

SHA1: a30c313b6b072221d1a5d92c8669e01b491e9309

SHA256: c2025f23e333c5c3030afee647b509cbc41e3c1ccb7d5ee0a6e6dd9b67e17e60

 

Кампания: ноябрь 2022

Имя файла: 349a1c90-8151-4ad6-936d-0263f47a9356.tmp

Семейство: RedCurl.Extractor

MD5: a01c3614978eead50b432df5f774acb5

SHA1: ab32db7847e5e4020399963cbf746390017bb8e1

SHA256: baf4d0c2a23f208951321e767b80f42f752dd79e04bdcfec64a97cb92aa4caf6

 

Кампания: ноябрь 2022

Имя файла: fd3116d9c64ff2e5b7.exe

Семейство: RedCurl.FSABIN

MD5: f3ee2284890a60062f5368e362a6257e

SHA1: 9939f68875e6592a08a82a04bc9a493fcf7d5ba6

SHA256: 2bee152f88d58fb7561c47c19b7711b8446ddd8a53988981e2b9f0ad9c247c5f

 

Кампания: июнь 2023

Имя файла: <название компании-перевозчика> E724D4269D.img

MD5: e834b9ab51d89058bccdcc1f08ad7cda

SHA1: b78de4dbe050fe2a320c5e5b7bcd6000f7f455be

SHA256: 57e93d2fca14439cbd75a09f2e2cb7543522350a39025f5db96dbd24dddcacc8

 

Кампания: июнь 2023

Имя файла: <название компании-перевозчика> E724D4269D.lnk

MD5: 54f2742ab47c2beef37a622af4026f29

SHA1: 6eef78d1444ddc164bd3475118c83eb29413cc98

SHA256: b17bc74e356f7f6c45a3eb25b9dae364e5ff9d313800c2800c1044517839dfa5

 

 

Кампания: июнь 2023

Имя файла: h7Gjop1.dll

Семейство: RedCurl.SimpleDownloader

MD5: 2b3dda526117ddc74c6283d907fcba6c

SHA1: 646a935a52cbd175c4952aa9b1e1d89787f93985

SHA256: 1ea43ba4192fd793de5aa18d20b60f0821dfe201f531ea4d1739b96a35526e36

 

Кампания: июнь 2023

Имя файла: mfgspr_<b64_encoded_computer_name>.exe

Семейство: RedCurl.Downloader

MD5: a228abbbc4606dd1b64f029de905c8e8

SHA1: 61d31505561f0d01bfab58964e9e835ea5637700

SHA256: 2c924c954a579c71a80fd002c46ba2c6185a2936b4b3dc6752028485280f8852

Сетевые индикаторы
arrow_drop_down

Кампания: май 2023

URL: hXXp://app-ins-001.amscloudhost.com/dn01

Комментарий: RedCurl.SimpleDownloader C2

 

Кампания: май 2023

URL: hXXp://m-dn-001.amscloudhost.com/

Комментарий: RedCurl.Downloader C2

 

Кампания: май 2023

URL: hXXp://m-dn-002.amscloudhost.com/

Комментарий: RedCurl.Downloader C2

 

Кампания: ноябрь 2022

URL: hXXp://buyhighroad[.]scienceontheweb[.]net

Комментарий: RedCurl.Downloader C2

 

Кампания: ноябрь 2022

URL: hXXp://tdnmouse.atspace[.]eu

Комментарий: RedCurl.Downloader C2

 

Кампания: ноябрь 2022

URL: hXXp://earthmart.c1[.]biz

Комментарий: RedCurl.FSABIN C2

 

Кампания: ноябрь 2022

URL: hXXp://worldhome.mypressonline[.]com

Комментарий: RedCurl.FSABIN C2

 

Кампания: июнь 2023

URL: hXXp://app-l01.msftcloud[.]click/ldn07_dhl_au/

Комментарий: RedCurl.SimpleDownloader C2

 

Кампания: июнь 2023

URL: hXXp://l-dn-01.msftcloud[.]click

Комментарий: RedCurl.Downloader C2

 

Кампания: июнь 2023

URL: hXXp://l-dn-02.msftcloud[.]click

Комментарий: RedCurl.Downloader C2

MITRE ATT&CK®

MITRE ATT&CK RedCurl