Артем Грищенко

Специалист по анализу вредоносного кода, F.A.C.C.T.

Тихоокеанский рубеж: кибершпионы из RedCurl нацелились на Австралию, Сингапур и Гонконг

Эксперты F.A.C.C.T. Threat Intelligence проанализировали новые атаки русскоговорящей хак-группы в Юго-Восточной Азии и Австралии

6 февраля, 2024 · мин. на чтение · Киберразведка

RedCurl

Threat Intelligence

В октябре 2023 года команда F.A.C.C.T. Threat Intelligence обнаружила файлы, которые использовала шпионская группа RedCurl для атак на потенциальные цели в Австралии, Сингапуре и Гонконге. Речь о компаниях, работающих в сфере строительства, логистики, авиаперевозок, горнодобывающей промышленности.

Русскоговорящая группа RedCurl впервые была открыта компанией F.A.С.С.T. в конце 2019 года, а активна она как минимум с 2018 года. Злоумышленники не шифровали компании, не похищали деньги со счетов, а занимались исключително кибершпионажем на заказ. Их задача — в ходе тщательно спланированной атаки незаметно добыть ценные сведения: деловую переписку, личные дела сотрудников, юридические документы. С момента заражения до кражи данных обычно проходило от 2 до 6 месяцев. Обычно в атаках RedCurl использовали свои самописные уникальные инструменты.

Цепочка атаки, инструменты, тактики и техники RedCurl впервые были подробно описаны в отчете 2020 года «RedCurl. Пентест о котором вы не просили», а год спустя — в исследовании «RedCurl. Пробуждение».

По данным компании F.A.С.С.T., RedCurl провела около 40 атак: половина из них — в России, остальные — в Великобритании, Германии, Канаде, Норвегии, на Украине. И, как оказалось, злоумышленники не останавливается на уже “отработанных” регионах, а постоянно расширяет свою географию атак.

В этом блоге автор Артем Грищенко, специалист по анализу вредоносного кода компании F.A.С.С.T., анализирует новые кибератаки RedCurl за пределами России, и рассказывает об обновленных инструментах в цепочках заражения и маскировке. Используя эти данные, российские компании могут лучше подготовиться к подобным потенциальным атакам RedCurl. По традиции, индикаторы компрометации и обзор тактик, техник и процедур (TTPs) RedCurl на основе матрицы MITRE ATT&CK® приведены в конце блога.

Технические детали атак осенью 2023 года

Цепочка заражения RedCurl в атаках 2023 года

Рисунок 1. Цепочка заражения RedCurl в атаках 2023 года.

Первоначальный доступ

Точка входа, используемая RedCurl, осталась без изменений — отправка электронного письма сотрудникам атакуемой компании. На рис. 2 и 3 представлены два подобных примера.

Рисунок 2. Письмо RedCurl, мимикрирующее под Samsung.

Рисунок 3. Письмо RedCurl, мимикрирующее под Amazon.

Оба письма являются корпоративными предложениями от предполагаемой компании отправителя, сотруднику атакуемой компании. В данном случае, письма отправлены от лица Amazon и Samsung (рис. 4 и 5 соответственно). Они содержат вложения в виде SVG-файлов или RAR-архивов содержащих SVG-файлы (от англ. Scalable Vector Graphics – масштабируемая векторная графика, ее обычно используют для отображения значков веб-сайтов, таких как кнопки, а также логотипов компаний).

Рисунок 4. RedCurl.SVG, мимикрирующее под Samsung SMTS (Secure Mail Transfer Service).

Рисунок 5. RedCurl.SVG, мимикрирующее под Amazon MASTS (Mail Attachments Secure Transfer Service).

С недавнего времени SVG-файлы являются обновленной стадией цепочки заражения RedCurl. В прошлых атаках RedCurl использовали ссылки в теле письма, при переходе по которым, загружался ISO-файл (стадия RedCurl.ISO). В новых атаках RedCurl используют SVG-файлы для имитации служб безопасной передачи почты (Secure Mail Transfer Service). В ходе нашего исследования данных атак мы также обнаружили SVG-файл, маскирующийся под службу безопасной передачи почтовых вложений (Mail Attachments Secure Transfer Service) департамента транспорта, правительства Австралии (рис. 6).

Рисунок 6. RedCurl.SVG, мимикрирующее под MASTS (Mail Attachments Secure Transfer Service) департамента транспорта, правительства Австралии.

SVG-файлы содержат ссылки, по которым располагаются стадии RedCurl.ISO. В RedCurl.ISO находится LNK-файл и директория, которая включаетт множество файлов с расширением .dll. Однако все, кроме одного файла, содержат случайный набор байтов. Действительный DLL-файл, располагающийся в директории, был классифицирован как RedCurl.SimpleDownloader.

Рисунок 7. Содержимое RedCurl.ISO.

Рисунок 8. Содержимое директории в RedCurl.ISO.

Стадия RedCurl.ISO была впервые описана в нашем предыдущем блоге.

Когда пользователь откроет ярлык (RedCurl.LNK), будет выполнена команда с использованием системного инструмента rundll32.exe, которая запускает стадию RedCurl.SimpleDownloader.

rundll32.exe {ARCHIVE_DIRECTORY}\{DLL_NAME}.dll,{EXPORTED_FUNCTION}

Примеры команд, которые будут выполнены посредствам запуска RedCurl.LNK:

rundll32.exe OcGdpKs\kDfY7w.dll,amazon
rundll32.exe Temp\HcJsPr.dll,samsung
rundll32.exe Temp\RcBdpT.dll,cvau

RedCurl.SimpleDownloader

RedCurl.SimpleDownloader — DLL-файл, использующийся для загрузки следующей стадии и отображения сайта-приманки. Также, в ходе работы загрузчика будет создана задача в планировщике задач Windows для закрепления RedCurl.Downloader в системе. Примеры URL, которые использовались для отображения сайтов-приманок:

https://amazon.com/your-account/
https://www.samsung.com/3a727916-8655-4f8b-aee5-388ad1e7df07/
https://www.samsung.com/b01131f7-2119-4f68-bb0b-6f77d80f1f7f/
https://www.samsung.com/au/f3780bed-1d94-4236-b8ce-07c322ded4ea/
https://www.linkedin.com/login

Адреса C2 серверов RedCurl.SimpleDownloader, обнаруженных в ходе исследования:

hXXp://app-l07[.]servicehost[.]click/ldn21_amazon
hXXp://clever[.]forcloudnetworks[.]online/ldn23_samsung
hXXp://app-l07[.]servicehost[.]click/ldn22_samsung
hXXp://app-l07[.]servicehost[.]click/ldn20_seek
hXXp://fiona[.]forcloudnetworks[.]online/ldn25_cv_au

Загруженная стадия будет записана в систему с использованием следующего шаблона пути: [%APPDATA%,%LOCALAPPDATA%]\VirtualStore\{HARDCODED_PHRASE}_{BASE64_COMPUTERNAME}.exe. Примеры:

%LOCALAPPDATA%\VirtualStore\sm_{BASE64_COMPUTERNAME}.exe
%LOCALAPPDATA%\VirtualStore\amz_{BASE64_COMPUTERNAME}.exe
%LOCALAPPDATA%\VirtualStore\seek_{BASE64_COMPUTERNAME}.exe
%APPDATA%\VirtualStore\ChromeBrowser_{BASE64_COMPUTERNAME}.exe
%APPDATA%\VirtualStore\ChromeC_{BASE64_COMPUTERNAME}.exe
%APPDATA%\VirtualStore\Chrome_{BASE64_COMPUTERNAME}.exe

Как мы писали выше, RedCurl.SimpleDownloader создаст запланированную задачу для закрепления в системе следующей стадии. В ходе исследования было установлено, что параметры Name, Location и Author не изменяются в зависимости от семпла.

Name	ChromeBrowserAgent_{GUID}_{BASE64_COMPUTERNAME}
Location	\Chrome
Author	Google Corporation

Список Action:

pcalua.exe -a %APPDATA%\VirtualStore\ChromeBrowser_{BASE64_COMPUTERNAME}.exe -c 6VPZ9g2OX4pHebY7so
%LOCALAPPDATA%\VirtualStore\sm_{BASE64_COMPUTERNAME}.exe bXThqHtrJrDFssgViOM
%LOCALAPPDATA%\VirtualStore\amz_{BASE64_COMPUTERNAME}.exe EfsFlOEorrkmwSGh
%LOCALAPPDATA%\VirtualStore\seek_{BASE64_COMPUTERNAME}.exe OZsP5S14F30UE5XsP
pcalua.exe -a %APPDATA%\VirtualStore\Chrome_{BASE64_COMPUTERNAME}.exe -c NjxDZUH2wI2fw
pcalua.exe -a %APPDATA%\VirtualStore\ChromeС_{BASE64_COMPUTERNAME}.exe -c xhwKuylLCdqs8

Необходимо отметить, что RedCurl.SimpleDownloader может содержать разные пути для записи следующей стадии (%APPDATA% или %LOCALAPPDATA%), и запланированная задача тоже может иметь разные методы запуска следующей стадии. В исследуемых атаках, помимо тривиального запуска исполняемого файла, был обнаружен метод запуска исполняемого файла с помощью системной утилиты pcalua.exe (Program Compatibility Assistant).

RedCurl.Downloader

RedCurl.Downloader используется для отправки информации о зараженной системе и загрузки следующей стадии. Данная стадия была также ранее описана в наших исследованиях:

После запуска данная стадия выполнит несколько проверок системы:

Проверка имени родительского процесса с svchost.exe и taskeng.exe (не представлена в одном из найденных семплов, — прим. автора)
Проверка сети путем выполнения запроса к одному из легитимных ресурсов:
- www.msn.com
- www.google.com
- www.yahoo.com
- www.google.co.uk
- duckduckgo.com
- www.wikipedia.org
- www.reddit.com
- www.bing.com
- www.amazon.com
- www.ebay.com
- www.microsoft.com

В случае если все проверки были пройдены, RedCurl.Downloader соберет информацию о системе и отправит ее на C2-сервер. Информация включает:

имя компьютера
имя пользователя
имя домена
содержимое директорий: %PROGRAMFILES%, %DESKTOP% и %LOCALAPPDATA%

RedCurl.Downloader использует два C2 адреса при выгрузке данных и получении следующей стадии (рис. 9). Собранные данные будут поочередно отправлены на каждый C2 адрес, используя POST-запросы с параметрами:

{
"Content-type": "application/x-www-form-urlencoded",
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246001"
}

Формат запроса остался без изменений согласно версии данной стадии, описанной в предыдущем блоге.

Данные запроса имеют следующий формат:

%RANDOM_STRING%=BASE64(%COMPUTERNAME%)&%RANDOM_STRING%=BASE64(%DOMAINNAME%)&%RANDOM_STRING%=BASE64(%USERNAME%)&%RANDOM_STRING%=%RANDOM_NUMBER%&%RANDOM_STRING%=BASE64(%LIST_OF_FILES%)&%RANDOM_STRING%=BASE64(%REDCURL_EXTRACTOR_EXPORT_NAME%)

RANDOM_STRING — случайная ASCII-строка длиной от 5 до 19 символов
COMPUTERNAME — имя зараженного компьютера
DOMAINNAME — имя домена, в котором находится зараженный компьютер
USERNAME — имя пользователя
RANDOM_NUMBER — случайное число от 0 до 23
LIST_OF_FILES — список файлов и директорий, расположенных в %PROGRAMFILES%, %DESKTOP% and %LOCALAPPDATA%
REDCURL_EXTRACTOR_EXPORT_NAME — имя экспортируемой функции следующей стадии (RedCurl.Extractor)

Рисунок 9. Сессия коммуникации RedCurl.Downloader с C2 сервером.

Использованные в атаке адреса C2 серверов RedCurl.Downloader:

Атаки на австралийский регион	Атаки на азиатский регион
l7-dn-01[.]servicehost[.]click l7-dn-02[.]servicehost[.]click	dn-01[.]seedflowd[.]online dn-02[.]seedflowd[.]online

В случае, если следующая стадия была получена, RedCurl.Downloader сохранит её в собственную директорию со случайно сгенерированным именем, загрузит ее и вызовет экспортную функцию в контексте собственного процесса. После того как стадия была успешно выполнена, RedCurl.Downloader удалит ее из системы.

В ходе нашего исследования следующая стадия (RedCurl.Extractor) была недоступна. Однако, ниже представлена информация о данной стадии относительно прошлой атаки, совершенной на российскую компанию.

RedCurl.Extractor

В прошлых атаках RedCurl, RedCurl.Extractor использовался для извлечения и закрепления в системе следующей стадии (RedCurl.FSABIN). Так, RedCurl.Extractor извлекал следующую стадию и легитимный инструмент — 7-Zip. Далее, создавал файл, используя следующий шаблон имени [0-9a-f]{8}.dat. Данный файл содержал строку, которая использовалась для расшифровки строк в следующей стадии (RedCurl.FSABIN). В завершении своей работы, RedCurl.Extractor создавал запланированную задачу в планировщике задач Windows для закрепления RedCurl.FSABIN в зараженной системе.

В ходе нашего исследования мы обнаружили несколько файлов RedCurl.FSABIN. Однако стадии RedCurl.Extractor или DAT-файлы, которые позволили бы расшифровать строки, обнаружены не были.

RedCurl.FSABIN

RedCurl.FSABIN используется для предоставления злоумышленникам удаленного контроля над зараженной системой. Данная стадия имеет возможности загрузки и выполнения BAT-сценариев (RedCurl.Commands). RedCurl.FSABIN выполняет запросы к C2 серверу для получения ключа расшифровки и зашифрованного BAT-сценария, который будет расшифрован и выполнен на зараженной системе.

Дополнительная информация

В контексте нашего исследования был обнаружен дополнительный файл RedCurl.ISO (SHA-1: c90445f26f66aec87d9a2069427c622bde90766c), без SVG-файла. Имя этого файла “LinkedIn cvTS export 12089001.iso”, имя содержащегося LNK-файла “LinkedIn cvTS export 12089001.lnk” и экспортная функция RedCurl.SimpleDownloader “cvau”, могут означать, что векторы инициализации этой атаки мимикрировали под электронное письмо с информацией о LinkedIn резюме. Исходя из Submitter информации, представленной на платформе VirusTotal, данная атака была также направлена на австралийскую компанию.

Также был обнаружен RedCurl.SimpleDownloader, который, судя по С2-адресу и экспортной функции, мог относиться к цепочке заражения, где первоначальные векторы атаки мимикрировали под австралийскую онлайн-биржу труда SEEK.

Измененные начальные стадии

Нами были обнаружены LNK-файлы, загруженные на платформу VirusTotal в ноябре 2023 года. Ниже представлены SHA-1 хеш-суммы семплов:

a5e04d2e61478a632a93507a65e470fe3fdb40d1 (CV Export 703902.pdf.lnk)
e1f39bd3d4015d93dc2d274d574b9b8dc0d74e53 (CV Export 10988741.pdf.lnk)
b17e32673f68315a63decc796c4e76b03ae05cc1 (CV Export 1075411.pdf.lnk)

Данные файлы выполняют команду для загрузки и запуска DLL-файла, используя системную утилиту pcalua.exe (Program Compatibility Assistant). Важно отметить, что LNK-файлы используют C2 сервера, как рабочую директорию для загрузки и запуска DLL-файлов. Ссылки рабочих директорий С2 серверов:

hXXps://au-01b09387-e789-4f13-922b-269339dc9d79[.]soulbirth[.]com[.]au\cldavroot
hXXps://ca-02a0b6cb-234d-4944-92f4-5fa0f32c5a36[.]unitgrapigs[.]com\cldavroot
hXXps://hk-1761-4289-889b-75c0fec903cb[.]bmrresources[.]com\cldavroot

Шаблон команды, которую используют LNK-файлы:

pcalua.exe -a rundll32.exe -c {GUID}.dll,cv

В ходе исследования был обнаружен семпл (SHA-1: 0254d518f5a4e3cc8fa3505219b72cda66cfe14a), данный семпл был загружен одним из LNK-файлов. Файл был классифицирован как RedCurl.SimpleDownloader. Используемый C2 сервер для загрузки следующей стадии:

hXXps://srv-au-01[.]palvelin[.]net/dn-26wd-au-02/

Используемый URL для обмана:

https://www.seek.com/

Потенциально успешная атака RedCurl

Команда F.A.C.C.T. Threat Intelligence обнаружила два загруженных файла на платформу VirusTotal с диапазоном около минуты, и с одним и тем же Submitter-ID. Первый файл был классифицирован как RedCurl.FSABIN, использующийся для загрузки и выполнения BAT-сценариев на зараженном устройстве. В ранних атаках, BAT-сценарии использовались для сбора информации о зараженной системе/инфраструктуре и отправления полученного результата на легитимные облачные диски в защищенных паролем архивах.

Второй обнаруженный файл являлся слепком базы данных Active Directory, который относится к одной из австралийских логистических компаний. Исходя из нашего опыта исследования атак группы RedCurl, можно сделать вывод, что атакующие используют AD Explorer для создания слепков базы данных Active Directory и их эксфильтрации путем загрузки результата на контролируемые злоумышленниками облачные диски.

Основываясь на имеющейся информации, с большей уверенностью мы можем сказать, что в данной атаке RedCurl удалось успешно дойти до этапа загрузки и выполнения стадий RedCurl.Commands с потенциально успешной эксфильтрацией слепка базы данных AD.

Выводы и рекомендации

Анализ недавних атак преступной группы RedCurl показал, что злоумышленники не останавливаются на компаниях из России и СНГ, а расширяют географию своих целей. Кибершпионы по-прежнему тщательно разрабатывают всю цепочку нападения и модернизируют свой инструментарий так, что долгое время остаются незамеченными в сети жертвы.

Для предотвращения и защиты от потенциальных кибератак группы RedCurl, специалисты F.A.C.C.T. Threat Intelligence рекомендуют:

Использовать современные меры защиты электронной почты, чтобы предотвратить первоначальный взлом. Мы рекомендуем узнать, как F.A.C.C.T. Business Email Protection может эффективно противостоять такого рода атакам.
Регулярно обучать сотрудников, чтобы сделать их менее подверженными фишингу во всех его формах.
Отслеживать задачи, созданные в планировщике задач Windows.
Особое внимание обратить на решения для работы с Active Directory, включая встроенные инструменты, которые могут быть использованы злоумышленниками для разведки.
Использовать данные F.A.C.C.T. Threat Intelligence для обнаружения и проактивного поиска угроз.

Индикаторы компрометации

Майская атака на регионы СНГ

Файлы

RedCurl.ISO

Filename	HIDDEN Каталог спецпредложений.img
MD5	9d7d79c17dab6ff01c5804866eb4c81d
SHA-1	7d01c27e827e02f32f12ada25da929fa911e965c
SHA-256	e7b881cd106aefa6100d0e5f361e46e557e8f2372bd36cefe863607d19471a04

RedCurl.LNK

Filename	HIDDEN Каталог спецпредложений.lnk
MD5	46a7d14e899171a136f69782a5cbbe35
SHA-1	a1cb733708debb4c51967bf56ca0a0f750156cfa
SHA-256	3bd054a5095806cd7e8392b749efa283735616ae8a0e707cdcc25654059bfe6b

RedCurl.SimpleDownloader

Filename	mKdPDaed.dll
MD5	6ece95df231083c37ecf9a39c324e2bb
SHA-1	1d1a59b1a3a9e5477ff6763ff97f90b52613932d
SHA-256	4188c953d784049dbd5be209e655d6d73f37435d9def71fd1edb4ed74a2f9e17

RedCurl.Downloader

MD5	a7b515678444d3590acf45bfc508b784
SHA-1	1004309c4567b45f3ecc7219765a1584aff6deec
SHA-256	e882e136fb56b10a1bc0691b7a7560d981d7d00abe59e15e3e85b89d90b461fa

Файловый путь

%LOCALAPPDATA%\VirtualStore\chrminst_{BASE64_COMPUTERNAME}.exe

Запланированная задача

Name	ChromeDefaultBrowser_Agent_{BASE64_COMPUTERNAME}
Location	\Chrome
Author	Google Corporation
Action	%LOCALAPPDATA%\VirtualStore\chrminst_{BASE64_COMPUTERNAME}.exe DOFBBdXC5DmPC

Ссылка

hXXps://app-ins-001[.]amscloudhost[.]com/dn01/

Домены

app-ins-001[.]amscloudhost[.]com
m-dn-001[.]amscloudhost[.]com
m-dn-002[.]amscloudhost[.]com

User-Agent

Mozilla/5.0 (Windows NT; Windows NT 10.0;) WindowsPowerShell/5.1.20134.790

Осенние атаки по австралийскому и азиатскому регионам

Файлы

RedCurl.SVG

Filename	Amazon Offer 29-0047-2023.svg
MD5	35515f47c813fe37b71fd1da0e0cc924
SHA-1	81e8691a7b8767e8018a5614de7878ce5858bafe
SHA-256	37bdf68c4903bf20e0702d383c647400b71760d2a6745223e860be163b384c9a
Filename	Samsung HIDDEN Offer 18-0040-2023.svg Samsung HIDDEN Offer 21-0014-2023.svg
MD5	9bfc4c2e60cfb3cc158ccc92c80393a5
SHA-1	dbb40f03ac5e247c6b44737e416b24cbcaca8808
SHA-256	21adf42e13397fc219b4b1564ecf0462e6a94379cd02bebcd033c8fb77f281a2
Filename	Amazon Offer 49-0011-2023.svg
MD5	d7a500fc34b15e00d0443c246398531c
SHA-1	b0c877b95cb3d92aeea0d6b07567a1eec278782c
SHA-256	10977be90b3a4d373a562136c11d37e189381f1cbbea0d4c7ffb31953e881ec2
Filename	Samsung HIDDEN Proposal 56-0013-2023.svg
MD5	e96527907a051ffef057806501222101
SHA-1	003b062d17bb4df9b615de1e661675e9c4af69f4
SHA-256	570d68678fa9e05cb22a85ac5fbccd7d56894045f6e0ea83660bb3781f47f8ff
Filename	Amazon Offer 43-0011-2023.svg
MD5	b0aa899b173418e9ee840df8e30044e8
SHA-1	c01f00a2ff25dd267f50e8fa1682516736bd1420
SHA-256	935c4350dc6d184b627c672f12a9a9a061288acedb32ff50c2bb72cce0b686e7
Filename	1390488501.svg
MD5	f77e5fa8a94cd3d59325abd614250a6f
SHA-1	27447e45ac532969ce959138ada56e2bac091348
SHA-256	51b17872e1401b8ae48015eec7da85a099660b53eaeac9c57b61aaabc9fdb31d
Filename	Samsung HIDDEN 12-0027-2023.svg
MD5	6afc831b325efed29f4e513abc3239b1
SHA-1	7f765d69c089a0a983ce10c8d38fa21f1691bdaa
SHA-256	f1d2fd2522c134fc140180a528e6575c406cdc485a108e8248e1a4cfc4b215b3
Filename	Samsung HIDDEN Offer 21-0014-2023.svg
MD5	a4dfe407a33358224a521f51611a4b5c
SHA-1	7ed830b915d118f5145b3e941e23fd0e12b5537c
SHA-256	349cb8d752621eedc43414aa5260203549b5485ff05020c0a958291df91401ea

RedCurl.ISO

Filename	Amazon Offer 48-0091-2023.iso
MD5	bdfa38042099cf24128d2daf13ae5ecb
SHA-1	c139b126a1714a32794d1213008d1526f46cdd44
SHA-256	60615cbb2e5bbbf758d351fc3e3d1dde6c6bebde68d4f3b547c1461ea91fe9e0
Filename	Samsung Special Offer 61-0024-2023.iso
MD5	10dac2d8fdbf056c0de6e3a47197889c
SHA-1	301397c557c7d4aa995e6757a04dd81e2b2b59a5
SHA-256	22989624772790307be9d6cedeed0a4ab322743b1729d28c3b0f0c0f0c02c08d
Filename	Samsung Special Offer 72-0062-2023.iso
MD5	d6cf3f26ab8c25a49a4a6025b0099906
SHA-1	c4f5be65b66cf5904eb1ec3d33ef92ae8dc7c2be
SHA-256	8878b4308f9b09f76ad1d1d53fce91aae59b081fee94c2baf19cb8ac3baeadd7
Filename	Samsung Special Offer 61-0024-2023.iso
MD5	6a36f3ba849adc65831bf709586e63b5
SHA-1	4e9d477a2abe3b7bfbf0e77ec98887276bd8849a
SHA-256	ca03ec0e4a3ba3678ca7560e95f00b838d2fcf5424560b23b4e9fc108b86fd86
Filename	LinkedIn cvTS export 12089001.iso
MD5	4bda4bb698294eb2c8d233a6901e6d17
SHA-1	c90445f26f66aec87d9a2069427c622bde90766c
SHA-256	92ffd2197a9af2721d42826ab17fdabc3c8f9d48b17f2405f890a40763a28c78

RedCurl.LNK

Filename	Samsung Special Offer 61-0024-2023.lnk
MD5	78859b00cf6fafe4326c7ef3ef4e14ef
SHA-1	931fc81ce07db7b67041c49e430b3f88ac7cb521
SHA-256	1feb42273e01c9d619de1204793bba704b83ad59ba4b3a12ff32e3513b9c8947
Filename	Samsung Special Offer 61-0024-2023.lnk
MD5	bb87a994e6049160a3bdce56caf7f2bf
SHA-1	73fa77816e27a3c42e8dea3d4ed5225dcb2402d6
SHA-256	d45cad4fd575b0329b4c565231172012b0e690b9c325398833d738bf75308935
Filename	Samsung Special Offer 72-0062-2023.LNK
MD5	cea0a824d357d43a2bbd2fb34d2cd70d
SHA-1	cd90fa6b3f260b5763444d5bb4a64dbc2fb5c872
SHA-256	dadf00f36cc9ebe3895855aa18188bd5c9773f1b563d64daae03b57061e19dbb
Filename	LinkedIn cvTS export 12089001.lnk
MD5	b1538b3e057146ae6e0317c31f777750
SHA-1	3b0223e0f4b52e2e7907a12bdf3672c0bd365d38
SHA-256	01d34a341e2bd165c25c5010ac0ca320e7039162dd853496dd884f48f5bc9589
Filename	Amazon Offer 48-0091-2023.lnk
MD5	e31d4c157711f0de9b291576541984cc
SHA-1	ea8ac97007879094ee5948e6c8fa3dab2e9cd894
SHA-256	10cd18114397f1b87e9a5f87bbd378e6095febf7364e3b8858f7348152812dc8
Filename	CV Export 703902.pdf.lnk
MD5	6642fb75031ac58800beb288518ec186
SHA-1	a5e04d2e61478a632a93507a65e470fe3fdb40d1
SHA-256	b58bb1e1c96f4709ea737cafd84cf50c65f5ca1d177bb5d25b7e96d310f5c5d9
Filename	CV Export 10988741.pdf.lnk
MD5	dcabab59c3a49e0ae345051350c6f415
SHA-1	e1f39bd3d4015d93dc2d274d574b9b8dc0d74e53
SHA-256	53e084c908285cb201fff38f6a5ff648ff8e8b00283948f6674ad248152fa12d
Filename	CV Export 1075411.pdf.lnk
MD5	e257d29201892816b9934ad7989eed45
SHA-1	b17e32673f68315a63decc796c4e76b03ae05cc1
SHA-256	fa6e7cddb425923ee9b5930754ad960c1d35808871450f77ce49844a0f60d340

RedCurl.SimpleDownloader

Filename	QkDjAp.dll
MD5	7fad9e25d69e3d07882c0fa7a91e1067
SHA-1	9fe53e70594bb71dcf879edd6c0ce93fbf33286a
SHA-256	8803d1787a69af82bc34b9d8b8190c253daf86b9a5b6fac8d07c206af2a70798
Filename	tribometer.dll
MD5	99681e4c6951d4bc015f2fd94afc4306
SHA-1	a17e5f3c627b7f9640b69626a3e647c183d7c0b2
SHA-256	2e8cc3dbb1aff91bdc462d57f84eaea3d00dd0b4ec1171c7a7a84ff30085a1bb
Filename	HcJsPr.dll
MD5	6c87f917e074e750d3cd5bb6e41663ca
SHA-1	dc63335e929d4cfad4d372aa4721d29a8eac6584
SHA-256	8d9aaa5cf9c7b442917a8f8542d020b221e9de595d78ef88b82ee696880491ef
Filename	LdPfKr.dll
MD5	21599a6b0d8be53eade771fdd68da486
SHA-1	6a9c34db3235a0f28a2aea93caae93a78b96caa3
SHA-256	f6e6491737d443af221855bbf35a430b271c7f0e234863a560d9304409a1bacc
Filename	RcBdpT.dll
MD5	a6a627f6e3172951d8eb87c1db5e3a1a
SHA-1	33eba2553d43f93c26801d4af16d6bdacd04f6f3
SHA-256	2347e3b48c717399b001209442b4a23d39ecf5e22aa728951a0328983b17308f
Filename	kDfY7w.dll
MD5	337ca44c6c8c31713d87e962ade3ae73
SHA-1	0fb4f9a17aeefb3b6998c6c559346090cbbec5d2
SHA-256	61ca00df551f138d3f8602c19936c4a70b1da581183b8d1264fbd2bc416361cf
Filename	cb62ba62-0ccd-47a2-8ea6-fff14e75b10e.dll
MD5	b03d652b8101cfacd26c89b3cdd20441
SHA-1	0254d518f5a4e3cc8fa3505219b72cda66cfe14a
SHA-256	88edd697a50ef6bc1fb6cecd6867227c090cd6072cbfc5e01fcf7ccf2e11ee04

RedCurl.Downloader

MD5	0796d68c27c96f67cd4ed92de09a18b4
SHA-1	a1ab8e91c86000d16b0467cc100e9fe9f0856530
SHA-256	d921866d7adf0e0537c1506b878664008d7c7eeb778dab9459de1098ffc7d9d0
MD5	8443d424166924f0501bd780da5f85be
SHA-1	0cda9865e8db8d8d7ceaa8368db932d684c4f8c3
SHA-256	3dd6940a45ef6a5398f3d293c07ec9b6f2301bf5ff8835750039ea62853e2c7a
MD5	1bea1a8814e2b920e1ee1503e3f50e66
SHA-1	86ec308d524b8e5b632ce107206fe4cf8b341eee
SHA-256	a34feabaeaacb4c96104a3939286f06f71724fdc7af52b5f2be9fccd9525c8df
MD5	c66d31fc7145373d8a2a7365b62a0190
SHA-1	131bd8a85ba8033cc737fbaba0b3d02c5408f35d
SHA-256	d7a18103817b24b84ec4cea4c0758791ec1138791f73b123fc2855a8381f7b1c
MD5	161b2e70b4a47723b8e85d02c0f1df24
SHA-1	5c9094b4a665ece2dfac0016b4f9b97c7d859a1f
SHA-256	37fc60bea66420a847408bf34a9702be7861aa262898d5f214ca1cd2c91f6c25
MD5	8a0536754e3f001026a6ffef8db59ff7
SHA-1	4c6951bcfe7896e2393bb56f04496ff68cd1785e
SHA-256	e060c4d7bb2dff383f08f26b8851cb291da5c145ed2fc0c0ec166768ef2122aa
MD5	45d6cfb0f85b66e00b8081d39ef806a9
SHA-1	bbc8ce7f2392dc17b7aaa260d2a30938289cb6c6
SHA-256	2766fa91594ba04c3c27b9ec39865a8d13fe62d79da8516c1c36d1ba607eddd7

RedCurl.FSABIN

MD5	c260ae4982c2df2ee4865e414451d57a
SHA-1	b0be7c5a8621de5ef08e567bc607ac3a7601e06f
SHA-256	0f02a77ecc502db1b4041d4607881ed390c06633de9281affc86a5ace8faee76
MD5	b527019fc66668c7956bc55f83f4b40e
SHA-1	8d0cf1b1efb88f30e6f12e6c1ace39295ecc2862
SHA-256	c218f8bbb8197b3c18f168e9cc688e5c6feed944703a157f6b28420739de7860

Файловые пути

%APPDATA%\VirtualStore\ChromeBrowser_{BASE64_COMPUTERNAME}.exe
%LOCALAPPDATA%\VirtualStore\sm_{BASE64_COMPUTERNAME}.exe
%LOCALAPPDATA%\VirtualStore\amz_{BASE64_COMPUTERNAME}.exe
%LOCALAPPDATA%\VirtualStore\seek_{BASE64_COMPUTERNAME}.exe
%APPDATA%\VirtualStore\ChromeC_{BASE64_COMPUTERNAME}.exe
%APPDATA%\VirtualStore\Chrome_{BASE64_COMPUTERNAME}.exe
%APPDATA%\VirtualStore\*
%LOCALAPPDATA%\VirtualStore\*

Запланированные задачи

Name	ChromeBrowserAgent_{GUID}_{BASE64_COMPUTERNAME}
Location	\Chrome
Author	Google Corporation

Action list:

pcalua.exe -a %APPDATA%\VirtualStore\ChromeBrowser_{BASE64_COMPUTERNAME}.exe -c 6VPZ9g2OX4pHebY7so
%LOCALAPPDATA%\VirtualStore\sm_{BASE64_COMPUTERNAME}.exe bXThqHtrJrDFssgViOM
%LOCALAPPDATA%\VirtualStore\amz_{BASE64_COMPUTERNAME}.exe EfsFlOEorrkmwSGh
%LOCALAPPDATA%\VirtualStore\seek_{BASE64_COMPUTERNAME}.exe OZsP5S14F30UE5XsP
pcalua.exe -a %APPDATA%\VirtualStore\Chrome_{BASE64_COMPUTERNAME}.exe -c NjxDZUH2wI2fw
pcalua.exe -a %APPDATA%\VirtualStore\ChromeС_{BASE64_COMPUTERNAME}.exe -c xhwKuylLCdqs8

Ссылки

hXXps://www.google[.]com/amp/s/5d17def6-607e-43a4-abd9-eb95bdadafb0.7pfc6nyj0q.workers.dev/6dc5942f-9e28-4498-878e-e2a2ff7cfd54/943449f6-af04-4797-8400-db439cd3c93f
hXXps://www.google[.]com/amp/s/cloud.amazoncdn.workers.dev/851ba0e9-f6e3-4f95-8adb-a2126681ad33
hXXps://www.google[.]com/amp/s/cloud.amazoncdn.workers.dev/efd64bfa-de03-4eb5-9cb5-4e860ddf98c4
hXXps://www.google[.]com/amp/s/cloud.amazoncdn.workers.dev/47e3c54a-2f0d-4511-90fe-7d76df2b78da
hXXps://google[.]com/amp/s/ab9f03b5-0840-4e26-88d1-da710d3eff9a.linkedincloudcv.workers.dev/5779bc89-6bb1-485b-bcea-9962398bc58b
hXXps://www.google[.]com/amp/s/7f567b90149.d44b2afdee0ee063b4f28b5b9.workers.dev/d7db38bf-9f21-41bc-877f-478f50f9ed64/7188e057-cbfc-4986-9b5d-c43c3e9dff19
hXXps://www.google[.]com/amp/s/7f567b90149.d44b2afdee0ee063b4f28b5b9.workers.dev/596c738d-38bc-41f5-8236-efd0fb1fcf8d/610fe71b-5482-488e-b3ae-8938b9e15c97
hXXp://app-l07[.]servicehost[.]click/ldn21_amazon
hXXp://clever[.]forcloudnetworks[.]online/ldn23_samsung
hXXp://app-l07[.]servicehost[.]click/ldn22_samsung
hXXp://app-l07[.]servicehost[.]click/ldn20_seek
hXXp://fiona[.]forcloudnetworks[.]online/ldn25_cv_au
hXXps://au-01b09387-e789-4f13-922b-269339dc9d79[.]soulbirth[.]com[.]au\cldavroot
hXXps://ca-02a0b6cb-234d-4944-92f4-5fa0f32c5a36[.]unitgrapigs[.]com\cldavroot
hXXps://hk-1761-4289-889b-75c0fec903cb[.]bmrresources[.]com\cldavroot
hXXps://srv-au-01[.]palvelin[.]net/dn-26wd-au-02/

Домены

au-01b09387-e789-4f13-922b-269339dc9d79[.]soulbirth[.]com[.]au
ca-02a0b6cb-234d-4944-92f4-5fa0f32c5a36[.]unitgrapigs[.]com
hk-1761-4289-889b-75c0fec903cb[.]bmrresources[.]com
app-l07[.]servicehost[.]click
clever[.]forcloudnetworks[.]online
fiona[.]forcloudnetworks[.]online
l7-dn-01[.]servicehost[.]click
l7-dn-02[.]servicehost[.]click
dn-01[.]seedflowd[.]online
dn-02[.]seedflowd[.]online

User-Agent

Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246001
Mozilla/5.0 (Windows NT; Windows NT 10.0;) WindowsPowerShell/5.1.20134.790

MITRE ATT&CK®

ТАКТИКИ	ТЕХНИКИ	ПРОЦЕДУРЫ
Initial Access (TA0001)	Phishing: Spearphishing Attachment (T1566.001)	RedCurl используют электронные письма с вложенными SVG-файлами.
Initial Access (TA0001)	Phishing: Spearphishing Link (T1566.002)	RedCurl используют SVG-файлы, содержащие URL адреса, на которых располагается следующая стадия.
Execution (TA0002)	User Execution: Malicious File (T1204.002)	RedCurl.LNK файл должен быть запущен пользователем.
Execution (TA0002)	Scheduled Task/Job: Scheduled Task (T1053.005)	RedCurl.SimpleDownloader создает запланированную задачу для закрепления следующей стадии в зараженной системе.
Persistence (TA0003)	Scheduled Task/Job: Scheduled Task (T1053.005)
Privilege-escalation (TA0004)	Scheduled Task/Job: Scheduled Task (T1053.005)
Defense-evasion (TA0005)	Deobfuscate/Decode Files or Information (T1140)	RedCurl используют шифрование строк в своих инструментах. Они будут расшифрованы в процессе исполнения файлов.
	Indicator Removal: File Deletion (T1070.004)	RedCurl.Downloader стадия удаляет RedCurl.Extractor после его выполнения.
	Masquerading: Masquerade Task or Service (T1036.004)	RedCurl создают запланированную задачу, которая содержит фразы, имеющие отношения к легитимному ПО. Имя директории запланированной задачи «Chrome». Первая часть имени задачи «ChromeBrowserAgent». Имя автора «Google Corporation».
	Masquerading: Match Legitimate Name or Location (T1036.005)	RedCurl.SimpleDownloader сохраняет следующую стадию в директорию VirtualStore. Данная папка является частью технологии виртуализации, представленной в Windows Vista.
	System Binary Proxy Execution: Rundll32 (T1218.011)	RedCurl.LNK использует системную утилиту rundll32.exe для запуска RedCurl.SimpleDownloader.
	Subvert Trust Controls: Mark-of-the-Web Bypass (T1553.005)	RedCurl используют ISO/IMG-файлы для обхода Mark-of-the-Web.
Collection (TA0009)	Data from Local System (T1005)	RedCurl.Downloader собирает следующую информацию: имя пользователя, имя компьютера, доменное имя. Также будут собраны имена файлов из директорий %DESKTOP%, %PROGRAMFILES% и%LOCALAPPDATA%.
Command-and-control (TA0011)	Application Layer Protocol: Web Protocols (T1071.001)	RedCurl.SimpleDownloader использует HTTP-протокол для взаимодействия с C2 сервером и получения следующей стадии.
Command-and-control (TA0011)	Ingress Tool Transfer (T1105)	RedCurl.SimpleDownloader разработан для загрузки следующей стадии с C2 сервера и её выполнения на зараженной системе.