В октябре 2023 года команда F.A.C.C.T. Threat Intelligence обнаружила файлы, которые использовала шпионская группа RedCurl для атак на потенциальные цели в Австралии, Сингапуре и Гонконге. Речь о компаниях, работающих в сфере строительства, логистики, авиаперевозок, горнодобывающей промышленности.
Русскоговорящая группа RedCurl впервые была открыта компанией F.A.С.С.T. в конце 2019 года, а активна она как минимум с 2018 года. Злоумышленники не шифровали компании, не похищали деньги со счетов, а занимались исключително кибершпионажем на заказ. Их задача — в ходе тщательно спланированной атаки незаметно добыть ценные сведения: деловую переписку, личные дела сотрудников, юридические документы. С момента заражения до кражи данных обычно проходило от 2 до 6 месяцев. Обычно в атаках RedCurl использовали свои самописные уникальные инструменты.
Цепочка атаки, инструменты, тактики и техники RedCurl впервые были подробно описаны в отчете 2020 года «RedCurl. Пентест о котором вы не просили», а год спустя — в исследовании «RedCurl. Пробуждение».
По данным компании F.A.С.С.T., RedCurl провела около 40 атак: половина из них — в России, остальные — в Великобритании, Германии, Канаде, Норвегии, на Украине. И, как оказалось, злоумышленники не останавливается на уже “отработанных” регионах, а постоянно расширяет свою географию атак.
В этом блоге автор Артем Грищенко, специалист по анализу вредоносного кода компании F.A.С.С.T., анализирует новые кибератаки RedCurl за пределами России, и рассказывает об обновленных инструментах в цепочках заражения и маскировке. Используя эти данные, российские компании могут лучше подготовиться к подобным потенциальным атакам RedCurl. По традиции, индикаторы компрометации и обзор тактик, техник и процедур (TTPs) RedCurl на основе матрицы MITRE ATT&CK® приведены в конце блога.
Технические детали атак осенью 2023 года
Цепочка заражения RedCurl в атаках 2023 года
Первоначальный доступ
Точка входа, используемая RedCurl, осталась без изменений — отправка электронного письма сотрудникам атакуемой компании. На рис. 2 и 3 представлены два подобных примера.
Оба письма являются корпоративными предложениями от предполагаемой компании отправителя, сотруднику атакуемой компании. В данном случае, письма отправлены от лица Amazon и Samsung (рис. 4 и 5 соответственно). Они содержат вложения в виде SVG-файлов или RAR-архивов содержащих SVG-файлы (от англ. Scalable Vector Graphics – масштабируемая векторная графика, ее обычно используют для отображения значков веб-сайтов, таких как кнопки, а также логотипов компаний).
С недавнего времени SVG-файлы являются обновленной стадией цепочки заражения RedCurl. В прошлых атаках RedCurl использовали ссылки в теле письма, при переходе по которым, загружался ISO-файл (стадия RedCurl.ISO). В новых атаках RedCurl используют SVG-файлы для имитации служб безопасной передачи почты (Secure Mail Transfer Service). В ходе нашего исследования данных атак мы также обнаружили SVG-файл, маскирующийся под службу безопасной передачи почтовых вложений (Mail Attachments Secure Transfer Service) департамента транспорта, правительства Австралии (рис. 6).
SVG-файлы содержат ссылки, по которым располагаются стадии RedCurl.ISO. В RedCurl.ISO находится LNK-файл и директория, которая включаетт множество файлов с расширением .dll. Однако все, кроме одного файла, содержат случайный набор байтов. Действительный DLL-файл, располагающийся в директории, был классифицирован как RedCurl.SimpleDownloader.
Стадия RedCurl.ISO была впервые описана в нашем предыдущем блоге.
Когда пользователь откроет ярлык (RedCurl.LNK), будет выполнена команда с использованием системного инструмента rundll32.exe, которая запускает стадию RedCurl.SimpleDownloader.
Примеры команд, которые будут выполнены посредствам запуска RedCurl.LNK:
- rundll32.exe OcGdpKs\kDfY7w.dll,amazon
- rundll32.exe Temp\HcJsPr.dll,samsung
- rundll32.exe Temp\RcBdpT.dll,cvau
RedCurl.SimpleDownloader
RedCurl.SimpleDownloader — DLL-файл, использующийся для загрузки следующей стадии и отображения сайта-приманки. Также, в ходе работы загрузчика будет создана задача в планировщике задач Windows для закрепления RedCurl.Downloader в системе. Примеры URL, которые использовались для отображения сайтов-приманок:
- https://amazon.com/your-account/
- https://www.samsung.com/3a727916-8655-4f8b-aee5-388ad1e7df07/
- https://www.samsung.com/b01131f7-2119-4f68-bb0b-6f77d80f1f7f/
- https://www.samsung.com/au/f3780bed-1d94-4236-b8ce-07c322ded4ea/
- https://www.linkedin.com/login
Адреса C2 серверов RedCurl.SimpleDownloader, обнаруженных в ходе исследования:
- hXXp://app-l07[.]servicehost[.]click/ldn21_amazon
- hXXp://clever[.]forcloudnetworks[.]online/ldn23_samsung
- hXXp://app-l07[.]servicehost[.]click/ldn22_samsung
- hXXp://app-l07[.]servicehost[.]click/ldn20_seek
- hXXp://fiona[.]forcloudnetworks[.]online/ldn25_cv_au
Загруженная стадия будет записана в систему с использованием следующего шаблона пути: [%APPDATA%,%LOCALAPPDATA%]\VirtualStore\{HARDCODED_PHRASE}_{BASE64_COMPUTERNAME}.exe. Примеры:
- %LOCALAPPDATA%\VirtualStore\sm_{BASE64_COMPUTERNAME}.exe
- %LOCALAPPDATA%\VirtualStore\amz_{BASE64_COMPUTERNAME}.exe
- %LOCALAPPDATA%\VirtualStore\seek_{BASE64_COMPUTERNAME}.exe
- %APPDATA%\VirtualStore\ChromeBrowser_{BASE64_COMPUTERNAME}.exe
- %APPDATA%\VirtualStore\ChromeC_{BASE64_COMPUTERNAME}.exe
- %APPDATA%\VirtualStore\Chrome_{BASE64_COMPUTERNAME}.exe
Как мы писали выше, RedCurl.SimpleDownloader создаст запланированную задачу для закрепления в системе следующей стадии. В ходе исследования было установлено, что параметры Name, Location и Author не изменяются в зависимости от семпла.
Name | ChromeBrowserAgent_{GUID}_{BASE64_COMPUTERNAME} |
Location | \Chrome |
Author | Google Corporation |
Список Action:
- pcalua.exe -a %APPDATA%\VirtualStore\ChromeBrowser_{BASE64_COMPUTERNAME}.exe -c 6VPZ9g2OX4pHebY7so
- %LOCALAPPDATA%\VirtualStore\sm_{BASE64_COMPUTERNAME}.exe bXThqHtrJrDFssgViOM
- %LOCALAPPDATA%\VirtualStore\amz_{BASE64_COMPUTERNAME}.exe EfsFlOEorrkmwSGh
- %LOCALAPPDATA%\VirtualStore\seek_{BASE64_COMPUTERNAME}.exe OZsP5S14F30UE5XsP
- pcalua.exe -a %APPDATA%\VirtualStore\Chrome_{BASE64_COMPUTERNAME}.exe -c NjxDZUH2wI2fw
- pcalua.exe -a %APPDATA%\VirtualStore\ChromeС_{BASE64_COMPUTERNAME}.exe -c xhwKuylLCdqs8
Необходимо отметить, что RedCurl.SimpleDownloader может содержать разные пути для записи следующей стадии (%APPDATA% или %LOCALAPPDATA%), и запланированная задача тоже может иметь разные методы запуска следующей стадии. В исследуемых атаках, помимо тривиального запуска исполняемого файла, был обнаружен метод запуска исполняемого файла с помощью системной утилиты pcalua.exe (Program Compatibility Assistant).
RedCurl.Downloader
RedCurl.Downloader используется для отправки информации о зараженной системе и загрузки следующей стадии. Данная стадия была также ранее описана в наших исследованиях:
- Блог «Кудри примелькались: кибершпионы из RedCurl атаковали банк от имени популярного маркетплейса»
- Исследование «RedCurl. Пробуждение»
После запуска данная стадия выполнит несколько проверок системы:
- Проверка имени родительского процесса с svchost.exe и taskeng.exe (не представлена в одном из найденных семплов, — прим. автора)
- Проверка сети путем выполнения запроса к одному из легитимных ресурсов:
- www.msn.com
- www.google.com
- www.yahoo.com
- www.google.co.uk
- duckduckgo.com
- www.wikipedia.org
- www.reddit.com
- www.bing.com
- www.amazon.com
- www.ebay.com
- www.microsoft.com
В случае если все проверки были пройдены, RedCurl.Downloader соберет информацию о системе и отправит ее на C2-сервер. Информация включает:
- имя компьютера
- имя пользователя
- имя домена
- содержимое директорий: %PROGRAMFILES%, %DESKTOP% и %LOCALAPPDATA%
RedCurl.Downloader использует два C2 адреса при выгрузке данных и получении следующей стадии (рис. 9). Собранные данные будут поочередно отправлены на каждый C2 адрес, используя POST-запросы с параметрами:
{ "Content-type": "application/x-www-form-urlencoded", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246001" }
Формат запроса остался без изменений согласно версии данной стадии, описанной в предыдущем блоге.
Данные запроса имеют следующий формат:
%RANDOM_STRING%=BASE64(%COMPUTERNAME%)&%RANDOM_STRING%=BASE64(%DOMAINNAME%)&%RANDOM_STRING%=BASE64(%USERNAME%)&%RANDOM_STRING%=%RANDOM_NUMBER%&%RANDOM_STRING%=BASE64(%LIST_OF_FILES%)&%RANDOM_STRING%=BASE64(%REDCURL_EXTRACTOR_EXPORT_NAME%)
- RANDOM_STRING — случайная ASCII-строка длиной от 5 до 19 символов
- COMPUTERNAME — имя зараженного компьютера
- DOMAINNAME — имя домена, в котором находится зараженный компьютер
- USERNAME — имя пользователя
- RANDOM_NUMBER — случайное число от 0 до 23
- LIST_OF_FILES — список файлов и директорий, расположенных в %PROGRAMFILES%, %DESKTOP% and %LOCALAPPDATA%
- REDCURL_EXTRACTOR_EXPORT_NAME — имя экспортируемой функции следующей стадии (RedCurl.Extractor)
Использованные в атаке адреса C2 серверов RedCurl.Downloader:
Атаки на австралийский регион | Атаки на азиатский регион |
|
|
В случае, если следующая стадия была получена, RedCurl.Downloader сохранит её в собственную директорию со случайно сгенерированным именем, загрузит ее и вызовет экспортную функцию в контексте собственного процесса. После того как стадия была успешно выполнена, RedCurl.Downloader удалит ее из системы.
В ходе нашего исследования следующая стадия (RedCurl.Extractor) была недоступна. Однако, ниже представлена информация о данной стадии относительно прошлой атаки, совершенной на российскую компанию.
RedCurl.Extractor
В прошлых атаках RedCurl, RedCurl.Extractor использовался для извлечения и закрепления в системе следующей стадии (RedCurl.FSABIN). Так, RedCurl.Extractor извлекал следующую стадию и легитимный инструмент — 7-Zip. Далее, создавал файл, используя следующий шаблон имени [0-9a-f]{8}.dat. Данный файл содержал строку, которая использовалась для расшифровки строк в следующей стадии (RedCurl.FSABIN). В завершении своей работы, RedCurl.Extractor создавал запланированную задачу в планировщике задач Windows для закрепления RedCurl.FSABIN в зараженной системе.
В ходе нашего исследования мы обнаружили несколько файлов RedCurl.FSABIN. Однако стадии RedCurl.Extractor или DAT-файлы, которые позволили бы расшифровать строки, обнаружены не были.
RedCurl.FSABIN
RedCurl.FSABIN используется для предоставления злоумышленникам удаленного контроля над зараженной системой. Данная стадия имеет возможности загрузки и выполнения BAT-сценариев (RedCurl.Commands). RedCurl.FSABIN выполняет запросы к C2 серверу для получения ключа расшифровки и зашифрованного BAT-сценария, который будет расшифрован и выполнен на зараженной системе.
Дополнительная информация
В контексте нашего исследования был обнаружен дополнительный файл RedCurl.ISO (SHA-1: c90445f26f66aec87d9a2069427c622bde90766c), без SVG-файла. Имя этого файла “LinkedIn cvTS export 12089001.iso”, имя содержащегося LNK-файла “LinkedIn cvTS export 12089001.lnk” и экспортная функция RedCurl.SimpleDownloader “cvau”, могут означать, что векторы инициализации этой атаки мимикрировали под электронное письмо с информацией о LinkedIn резюме. Исходя из Submitter информации, представленной на платформе VirusTotal, данная атака была также направлена на австралийскую компанию.
Также был обнаружен RedCurl.SimpleDownloader, который, судя по С2-адресу и экспортной функции, мог относиться к цепочке заражения, где первоначальные векторы атаки мимикрировали под австралийскую онлайн-биржу труда SEEK.
Измененные начальные стадии
Нами были обнаружены LNK-файлы, загруженные на платформу VirusTotal в ноябре 2023 года. Ниже представлены SHA-1 хеш-суммы семплов:
- a5e04d2e61478a632a93507a65e470fe3fdb40d1 (CV Export 703902.pdf.lnk)
- e1f39bd3d4015d93dc2d274d574b9b8dc0d74e53 (CV Export 10988741.pdf.lnk)
- b17e32673f68315a63decc796c4e76b03ae05cc1 (CV Export 1075411.pdf.lnk)
Данные файлы выполняют команду для загрузки и запуска DLL-файла, используя системную утилиту pcalua.exe (Program Compatibility Assistant). Важно отметить, что LNK-файлы используют C2 сервера, как рабочую директорию для загрузки и запуска DLL-файлов. Ссылки рабочих директорий С2 серверов:
- hXXps://au-01b09387-e789-4f13-922b-269339dc9d79[.]soulbirth[.]com[.]au\cldavroot
- hXXps://ca-02a0b6cb-234d-4944-92f4-5fa0f32c5a36[.]unitgrapigs[.]com\cldavroot
- hXXps://hk-1761-4289-889b-75c0fec903cb[.]bmrresources[.]com\cldavroot
Шаблон команды, которую используют LNK-файлы:
- pcalua.exe -a rundll32.exe -c {GUID}.dll,cv
В ходе исследования был обнаружен семпл (SHA-1: 0254d518f5a4e3cc8fa3505219b72cda66cfe14a), данный семпл был загружен одним из LNK-файлов. Файл был классифицирован как RedCurl.SimpleDownloader. Используемый C2 сервер для загрузки следующей стадии:
- hXXps://srv-au-01[.]palvelin[.]net/dn-26wd-au-02/
Используемый URL для обмана:
- https://www.seek.com/
Потенциально успешная атака RedCurl
Команда F.A.C.C.T. Threat Intelligence обнаружила два загруженных файла на платформу VirusTotal с диапазоном около минуты, и с одним и тем же Submitter-ID. Первый файл был классифицирован как RedCurl.FSABIN, использующийся для загрузки и выполнения BAT-сценариев на зараженном устройстве. В ранних атаках, BAT-сценарии использовались для сбора информации о зараженной системе/инфраструктуре и отправления полученного результата на легитимные облачные диски в защищенных паролем архивах.
Второй обнаруженный файл являлся слепком базы данных Active Directory, который относится к одной из австралийских логистических компаний. Исходя из нашего опыта исследования атак группы RedCurl, можно сделать вывод, что атакующие используют AD Explorer для создания слепков базы данных Active Directory и их эксфильтрации путем загрузки результата на контролируемые злоумышленниками облачные диски.
Основываясь на имеющейся информации, с большей уверенностью мы можем сказать, что в данной атаке RedCurl удалось успешно дойти до этапа загрузки и выполнения стадий RedCurl.Commands с потенциально успешной эксфильтрацией слепка базы данных AD.
Выводы и рекомендации
Анализ недавних атак преступной группы RedCurl показал, что злоумышленники не останавливаются на компаниях из России и СНГ, а расширяют географию своих целей. Кибершпионы по-прежнему тщательно разрабатывают всю цепочку нападения и модернизируют свой инструментарий так, что долгое время остаются незамеченными в сети жертвы.
Для предотвращения и защиты от потенциальных кибератак группы RedCurl, специалисты F.A.C.C.T. Threat Intelligence рекомендуют:
- Использовать современные меры защиты электронной почты, чтобы предотвратить первоначальный взлом. Мы рекомендуем узнать, как F.A.C.C.T. Business Email Protection может эффективно противостоять такого рода атакам.
- Регулярно обучать сотрудников, чтобы сделать их менее подверженными фишингу во всех его формах.
- Отслеживать задачи, созданные в планировщике задач Windows.
- Особое внимание обратить на решения для работы с Active Directory, включая встроенные инструменты, которые могут быть использованы злоумышленниками для разведки.
- Использовать данные F.A.C.C.T. Threat Intelligence для обнаружения и проактивного поиска угроз.
Проактивная защита от киберугроз с F.A.C.C.T. Threat Intelligence
Эффективная защита бизнеса на основе уникальной информации о злоумышленниках
Индикаторы компрометации
Майская атака на регионы СНГ
Файлы
RedCurl.ISO
Filename | *HIDDEN* Каталог спецпредложений.img |
MD5 | 9d7d79c17dab6ff01c5804866eb4c81d |
SHA-1 | 7d01c27e827e02f32f12ada25da929fa911e965c |
SHA-256 | e7b881cd106aefa6100d0e5f361e46e557e8f2372bd36cefe863607d19471a04 |
RedCurl.LNK
Filename | *HIDDEN* Каталог спецпредложений.lnk |
MD5 | 46a7d14e899171a136f69782a5cbbe35 |
SHA-1 | a1cb733708debb4c51967bf56ca0a0f750156cfa |
SHA-256 | 3bd054a5095806cd7e8392b749efa283735616ae8a0e707cdcc25654059bfe6b |
RedCurl.SimpleDownloader
Filename | mKdPDaed.dll |
MD5 | 6ece95df231083c37ecf9a39c324e2bb |
SHA-1 | 1d1a59b1a3a9e5477ff6763ff97f90b52613932d |
SHA-256 | 4188c953d784049dbd5be209e655d6d73f37435d9def71fd1edb4ed74a2f9e17 |
RedCurl.Downloader
MD5 | a7b515678444d3590acf45bfc508b784 |
SHA-1 | 1004309c4567b45f3ecc7219765a1584aff6deec |
SHA-256 | e882e136fb56b10a1bc0691b7a7560d981d7d00abe59e15e3e85b89d90b461fa |
Файловый путь
%LOCALAPPDATA%\VirtualStore\chrminst_{BASE64_COMPUTERNAME}.exe
Запланированная задача
Name | ChromeDefaultBrowser_Agent_{BASE64_COMPUTERNAME} |
Location | \Chrome |
Author | Google Corporation |
Action | %LOCALAPPDATA%\VirtualStore\chrminst_{BASE64_COMPUTERNAME}.exe DOFBBdXC5DmPC |
Ссылка
- hXXps://app-ins-001[.]amscloudhost[.]com/dn01/
Домены
- app-ins-001[.]amscloudhost[.]com
- m-dn-001[.]amscloudhost[.]com
- m-dn-002[.]amscloudhost[.]com
User-Agent
- Mozilla/5.0 (Windows NT; Windows NT 10.0;) WindowsPowerShell/5.1.20134.790
Осенние атаки по австралийскому и азиатскому регионам
Файлы
RedCurl.SVG
Filename | Amazon Offer 29-0047-2023.svg |
MD5 | 35515f47c813fe37b71fd1da0e0cc924 |
SHA-1 | 81e8691a7b8767e8018a5614de7878ce5858bafe |
SHA-256 | 37bdf68c4903bf20e0702d383c647400b71760d2a6745223e860be163b384c9a |
Filename | Samsung *HIDDEN* Offer 18-0040-2023.svg
Samsung *HIDDEN* Offer 21-0014-2023.svg |
MD5 | 9bfc4c2e60cfb3cc158ccc92c80393a5 |
SHA-1 | dbb40f03ac5e247c6b44737e416b24cbcaca8808 |
SHA-256 | 21adf42e13397fc219b4b1564ecf0462e6a94379cd02bebcd033c8fb77f281a2 |
Filename | Amazon Offer 49-0011-2023.svg |
MD5 | d7a500fc34b15e00d0443c246398531c |
SHA-1 | b0c877b95cb3d92aeea0d6b07567a1eec278782c |
SHA-256 | 10977be90b3a4d373a562136c11d37e189381f1cbbea0d4c7ffb31953e881ec2 |
Filename | Samsung *HIDDEN* Proposal 56-0013-2023.svg |
MD5 | e96527907a051ffef057806501222101 |
SHA-1 | 003b062d17bb4df9b615de1e661675e9c4af69f4 |
SHA-256 | 570d68678fa9e05cb22a85ac5fbccd7d56894045f6e0ea83660bb3781f47f8ff |
Filename | Amazon Offer 43-0011-2023.svg |
MD5 | b0aa899b173418e9ee840df8e30044e8 |
SHA-1 | c01f00a2ff25dd267f50e8fa1682516736bd1420 |
SHA-256 | 935c4350dc6d184b627c672f12a9a9a061288acedb32ff50c2bb72cce0b686e7 |
Filename | 1390488501.svg |
MD5 | f77e5fa8a94cd3d59325abd614250a6f |
SHA-1 | 27447e45ac532969ce959138ada56e2bac091348 |
SHA-256 | 51b17872e1401b8ae48015eec7da85a099660b53eaeac9c57b61aaabc9fdb31d |
Filename | Samsung *HIDDEN* 12-0027-2023.svg |
MD5 | 6afc831b325efed29f4e513abc3239b1 |
SHA-1 | 7f765d69c089a0a983ce10c8d38fa21f1691bdaa |
SHA-256 | f1d2fd2522c134fc140180a528e6575c406cdc485a108e8248e1a4cfc4b215b3 |
Filename | Samsung *HIDDEN* Offer 21-0014-2023.svg |
MD5 | a4dfe407a33358224a521f51611a4b5c |
SHA-1 | 7ed830b915d118f5145b3e941e23fd0e12b5537c |
SHA-256 | 349cb8d752621eedc43414aa5260203549b5485ff05020c0a958291df91401ea |
RedCurl.ISO
Filename | Amazon Offer 48-0091-2023.iso |
MD5 | bdfa38042099cf24128d2daf13ae5ecb |
SHA-1 | c139b126a1714a32794d1213008d1526f46cdd44 |
SHA-256 | 60615cbb2e5bbbf758d351fc3e3d1dde6c6bebde68d4f3b547c1461ea91fe9e0 |
Filename | Samsung Special Offer 61-0024-2023.iso |
MD5 | 10dac2d8fdbf056c0de6e3a47197889c |
SHA-1 | 301397c557c7d4aa995e6757a04dd81e2b2b59a5 |
SHA-256 | 22989624772790307be9d6cedeed0a4ab322743b1729d28c3b0f0c0f0c02c08d |
Filename | Samsung Special Offer 72-0062-2023.iso |
MD5 | d6cf3f26ab8c25a49a4a6025b0099906 |
SHA-1 | c4f5be65b66cf5904eb1ec3d33ef92ae8dc7c2be |
SHA-256 | 8878b4308f9b09f76ad1d1d53fce91aae59b081fee94c2baf19cb8ac3baeadd7 |
Filename | Samsung Special Offer 61-0024-2023.iso |
MD5 | 6a36f3ba849adc65831bf709586e63b5 |
SHA-1 | 4e9d477a2abe3b7bfbf0e77ec98887276bd8849a |
SHA-256 | ca03ec0e4a3ba3678ca7560e95f00b838d2fcf5424560b23b4e9fc108b86fd86 |
Filename | LinkedIn cvTS export 12089001.iso |
MD5 | 4bda4bb698294eb2c8d233a6901e6d17 |
SHA-1 | c90445f26f66aec87d9a2069427c622bde90766c |
SHA-256 | 92ffd2197a9af2721d42826ab17fdabc3c8f9d48b17f2405f890a40763a28c78 |
RedCurl.LNK
Filename | Samsung Special Offer 61-0024-2023.lnk |
MD5 | 78859b00cf6fafe4326c7ef3ef4e14ef |
SHA-1 | 931fc81ce07db7b67041c49e430b3f88ac7cb521 |
SHA-256 | 1feb42273e01c9d619de1204793bba704b83ad59ba4b3a12ff32e3513b9c8947 |
Filename | Samsung Special Offer 61-0024-2023.lnk |
MD5 | bb87a994e6049160a3bdce56caf7f2bf |
SHA-1 | 73fa77816e27a3c42e8dea3d4ed5225dcb2402d6 |
SHA-256 | d45cad4fd575b0329b4c565231172012b0e690b9c325398833d738bf75308935 |
Filename | Samsung Special Offer 72-0062-2023.LNK |
MD5 | cea0a824d357d43a2bbd2fb34d2cd70d |
SHA-1 | cd90fa6b3f260b5763444d5bb4a64dbc2fb5c872 |
SHA-256 | dadf00f36cc9ebe3895855aa18188bd5c9773f1b563d64daae03b57061e19dbb |
Filename | LinkedIn cvTS export 12089001.lnk |
MD5 | b1538b3e057146ae6e0317c31f777750 |
SHA-1 | 3b0223e0f4b52e2e7907a12bdf3672c0bd365d38 |
SHA-256 | 01d34a341e2bd165c25c5010ac0ca320e7039162dd853496dd884f48f5bc9589 |
Filename | Amazon Offer 48-0091-2023.lnk |
MD5 | e31d4c157711f0de9b291576541984cc |
SHA-1 | ea8ac97007879094ee5948e6c8fa3dab2e9cd894 |
SHA-256 | 10cd18114397f1b87e9a5f87bbd378e6095febf7364e3b8858f7348152812dc8 |
Filename | CV Export 703902.pdf.lnk |
MD5 | 6642fb75031ac58800beb288518ec186 |
SHA-1 | a5e04d2e61478a632a93507a65e470fe3fdb40d1 |
SHA-256 | b58bb1e1c96f4709ea737cafd84cf50c65f5ca1d177bb5d25b7e96d310f5c5d9 |
Filename | CV Export 10988741.pdf.lnk |
MD5 | dcabab59c3a49e0ae345051350c6f415 |
SHA-1 | e1f39bd3d4015d93dc2d274d574b9b8dc0d74e53 |
SHA-256 | 53e084c908285cb201fff38f6a5ff648ff8e8b00283948f6674ad248152fa12d |
Filename | CV Export 1075411.pdf.lnk |
MD5 | e257d29201892816b9934ad7989eed45 |
SHA-1 | b17e32673f68315a63decc796c4e76b03ae05cc1 |
SHA-256 | fa6e7cddb425923ee9b5930754ad960c1d35808871450f77ce49844a0f60d340 |
RedCurl.SimpleDownloader
Filename | QkDjAp.dll |
MD5 | 7fad9e25d69e3d07882c0fa7a91e1067 |
SHA-1 | 9fe53e70594bb71dcf879edd6c0ce93fbf33286a |
SHA-256 | 8803d1787a69af82bc34b9d8b8190c253daf86b9a5b6fac8d07c206af2a70798 |
Filename | tribometer.dll |
MD5 | 99681e4c6951d4bc015f2fd94afc4306 |
SHA-1 | a17e5f3c627b7f9640b69626a3e647c183d7c0b2 |
SHA-256 | 2e8cc3dbb1aff91bdc462d57f84eaea3d00dd0b4ec1171c7a7a84ff30085a1bb |
Filename | HcJsPr.dll |
MD5 | 6c87f917e074e750d3cd5bb6e41663ca |
SHA-1 | dc63335e929d4cfad4d372aa4721d29a8eac6584 |
SHA-256 | 8d9aaa5cf9c7b442917a8f8542d020b221e9de595d78ef88b82ee696880491ef |
Filename | LdPfKr.dll |
MD5 | 21599a6b0d8be53eade771fdd68da486 |
SHA-1 | 6a9c34db3235a0f28a2aea93caae93a78b96caa3 |
SHA-256 | f6e6491737d443af221855bbf35a430b271c7f0e234863a560d9304409a1bacc |
Filename | RcBdpT.dll |
MD5 | a6a627f6e3172951d8eb87c1db5e3a1a |
SHA-1 | 33eba2553d43f93c26801d4af16d6bdacd04f6f3 |
SHA-256 | 2347e3b48c717399b001209442b4a23d39ecf5e22aa728951a0328983b17308f |
Filename | kDfY7w.dll |
MD5 | 337ca44c6c8c31713d87e962ade3ae73 |
SHA-1 | 0fb4f9a17aeefb3b6998c6c559346090cbbec5d2 |
SHA-256 | 61ca00df551f138d3f8602c19936c4a70b1da581183b8d1264fbd2bc416361cf |
Filename | cb62ba62-0ccd-47a2-8ea6-fff14e75b10e.dll |
MD5 | b03d652b8101cfacd26c89b3cdd20441 |
SHA-1 | 0254d518f5a4e3cc8fa3505219b72cda66cfe14a |
SHA-256 | 88edd697a50ef6bc1fb6cecd6867227c090cd6072cbfc5e01fcf7ccf2e11ee04 |
RedCurl.Downloader
MD5 | 0796d68c27c96f67cd4ed92de09a18b4 |
SHA-1 | a1ab8e91c86000d16b0467cc100e9fe9f0856530 |
SHA-256 | d921866d7adf0e0537c1506b878664008d7c7eeb778dab9459de1098ffc7d9d0 |
MD5 | 8443d424166924f0501bd780da5f85be |
SHA-1 | 0cda9865e8db8d8d7ceaa8368db932d684c4f8c3 |
SHA-256 | 3dd6940a45ef6a5398f3d293c07ec9b6f2301bf5ff8835750039ea62853e2c7a |
MD5 | 1bea1a8814e2b920e1ee1503e3f50e66 |
SHA-1 | 86ec308d524b8e5b632ce107206fe4cf8b341eee |
SHA-256 | a34feabaeaacb4c96104a3939286f06f71724fdc7af52b5f2be9fccd9525c8df |
MD5 | c66d31fc7145373d8a2a7365b62a0190 |
SHA-1 | 131bd8a85ba8033cc737fbaba0b3d02c5408f35d |
SHA-256 | d7a18103817b24b84ec4cea4c0758791ec1138791f73b123fc2855a8381f7b1c |
MD5 | 161b2e70b4a47723b8e85d02c0f1df24 |
SHA-1 | 5c9094b4a665ece2dfac0016b4f9b97c7d859a1f |
SHA-256 | 37fc60bea66420a847408bf34a9702be7861aa262898d5f214ca1cd2c91f6c25 |
MD5 | 8a0536754e3f001026a6ffef8db59ff7 |
SHA-1 | 4c6951bcfe7896e2393bb56f04496ff68cd1785e |
SHA-256 | e060c4d7bb2dff383f08f26b8851cb291da5c145ed2fc0c0ec166768ef2122aa |
MD5 | 45d6cfb0f85b66e00b8081d39ef806a9 |
SHA-1 | bbc8ce7f2392dc17b7aaa260d2a30938289cb6c6 |
SHA-256 | 2766fa91594ba04c3c27b9ec39865a8d13fe62d79da8516c1c36d1ba607eddd7 |
RedCurl.FSABIN
MD5 | c260ae4982c2df2ee4865e414451d57a |
SHA-1 | b0be7c5a8621de5ef08e567bc607ac3a7601e06f |
SHA-256 | 0f02a77ecc502db1b4041d4607881ed390c06633de9281affc86a5ace8faee76 |
MD5 | b527019fc66668c7956bc55f83f4b40e |
SHA-1 | 8d0cf1b1efb88f30e6f12e6c1ace39295ecc2862 |
SHA-256 | c218f8bbb8197b3c18f168e9cc688e5c6feed944703a157f6b28420739de7860 |
Файловые пути
- %APPDATA%\VirtualStore\ChromeBrowser_{BASE64_COMPUTERNAME}.exe
- %LOCALAPPDATA%\VirtualStore\sm_{BASE64_COMPUTERNAME}.exe
- %LOCALAPPDATA%\VirtualStore\amz_{BASE64_COMPUTERNAME}.exe
- %LOCALAPPDATA%\VirtualStore\seek_{BASE64_COMPUTERNAME}.exe
- %APPDATA%\VirtualStore\ChromeC_{BASE64_COMPUTERNAME}.exe
- %APPDATA%\VirtualStore\Chrome_{BASE64_COMPUTERNAME}.exe
- %APPDATA%\VirtualStore\*
- %LOCALAPPDATA%\VirtualStore\*
Запланированные задачи
Name | ChromeBrowserAgent_{GUID}_{BASE64_COMPUTERNAME} |
Location | \Chrome |
Author | Google Corporation |
Action list:
- pcalua.exe -a %APPDATA%\VirtualStore\ChromeBrowser_{BASE64_COMPUTERNAME}.exe -c 6VPZ9g2OX4pHebY7so
- %LOCALAPPDATA%\VirtualStore\sm_{BASE64_COMPUTERNAME}.exe bXThqHtrJrDFssgViOM
- %LOCALAPPDATA%\VirtualStore\amz_{BASE64_COMPUTERNAME}.exe EfsFlOEorrkmwSGh
- %LOCALAPPDATA%\VirtualStore\seek_{BASE64_COMPUTERNAME}.exe OZsP5S14F30UE5XsP
- pcalua.exe -a %APPDATA%\VirtualStore\Chrome_{BASE64_COMPUTERNAME}.exe -c NjxDZUH2wI2fw
- pcalua.exe -a %APPDATA%\VirtualStore\ChromeС_{BASE64_COMPUTERNAME}.exe -c xhwKuylLCdqs8
Ссылки
- hXXps://www.google[.]com/amp/s/5d17def6-607e-43a4-abd9-eb95bdadafb0.7pfc6nyj0q.workers.dev/6dc5942f-9e28-4498-878e-e2a2ff7cfd54/943449f6-af04-4797-8400-db439cd3c93f
- hXXps://www.google[.]com/amp/s/cloud.amazoncdn.workers.dev/851ba0e9-f6e3-4f95-8adb-a2126681ad33
- hXXps://www.google[.]com/amp/s/cloud.amazoncdn.workers.dev/efd64bfa-de03-4eb5-9cb5-4e860ddf98c4
- hXXps://www.google[.]com/amp/s/cloud.amazoncdn.workers.dev/47e3c54a-2f0d-4511-90fe-7d76df2b78da
- hXXps://google[.]com/amp/s/ab9f03b5-0840-4e26-88d1-da710d3eff9a.linkedincloudcv.workers.dev/5779bc89-6bb1-485b-bcea-9962398bc58b
- hXXps://www.google[.]com/amp/s/7f567b90149.d44b2afdee0ee063b4f28b5b9.workers.dev/d7db38bf-9f21-41bc-877f-478f50f9ed64/7188e057-cbfc-4986-9b5d-c43c3e9dff19
- hXXps://www.google[.]com/amp/s/7f567b90149.d44b2afdee0ee063b4f28b5b9.workers.dev/596c738d-38bc-41f5-8236-efd0fb1fcf8d/610fe71b-5482-488e-b3ae-8938b9e15c97
- hXXp://app-l07[.]servicehost[.]click/ldn21_amazon
- hXXp://clever[.]forcloudnetworks[.]online/ldn23_samsung
- hXXp://app-l07[.]servicehost[.]click/ldn22_samsung
- hXXp://app-l07[.]servicehost[.]click/ldn20_seek
- hXXp://fiona[.]forcloudnetworks[.]online/ldn25_cv_au
- hXXps://au-01b09387-e789-4f13-922b-269339dc9d79[.]soulbirth[.]com[.]au\cldavroot
- hXXps://ca-02a0b6cb-234d-4944-92f4-5fa0f32c5a36[.]unitgrapigs[.]com\cldavroot
- hXXps://hk-1761-4289-889b-75c0fec903cb[.]bmrresources[.]com\cldavroot
- hXXps://srv-au-01[.]palvelin[.]net/dn-26wd-au-02/
Домены
- au-01b09387-e789-4f13-922b-269339dc9d79[.]soulbirth[.]com[.]au
- ca-02a0b6cb-234d-4944-92f4-5fa0f32c5a36[.]unitgrapigs[.]com
- hk-1761-4289-889b-75c0fec903cb[.]bmrresources[.]com
- app-l07[.]servicehost[.]click
- clever[.]forcloudnetworks[.]online
- fiona[.]forcloudnetworks[.]online
- l7-dn-01[.]servicehost[.]click
- l7-dn-02[.]servicehost[.]click
- dn-01[.]seedflowd[.]online
- dn-02[.]seedflowd[.]online
User-Agent
- Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246001
- Mozilla/5.0 (Windows NT; Windows NT 10.0;) WindowsPowerShell/5.1.20134.790
MITRE ATT&CK®
ТАКТИКИ | ТЕХНИКИ | ПРОЦЕДУРЫ |
---|---|---|
Initial Access (TA0001) | Phishing: Spearphishing Attachment (T1566.001) | RedCurl используют электронные письма с вложенными SVG-файлами. |
Phishing: Spearphishing Link (T1566.002) | RedCurl используют SVG-файлы, содержащие URL адреса, на которых располагается следующая стадия. | |
Execution (TA0002) | User Execution: Malicious File (T1204.002) | RedCurl.LNK файл должен быть запущен пользователем. |
Scheduled Task/Job: Scheduled Task (T1053.005) | RedCurl.SimpleDownloader создает запланированную задачу для закрепления следующей стадии в зараженной системе. | |
Persistence (TA0003) | Scheduled Task/Job: Scheduled Task (T1053.005) | |
Privilege-escalation (TA0004) | Scheduled Task/Job: Scheduled Task (T1053.005) | |
Defense-evasion (TA0005) | Deobfuscate/Decode Files or Information (T1140) | RedCurl используют шифрование строк в своих инструментах. Они будут расшифрованы в процессе исполнения файлов. |
Indicator Removal: File Deletion (T1070.004) | RedCurl.Downloader стадия удаляет RedCurl.Extractor после его выполнения. | |
Masquerading: Masquerade Task or Service (T1036.004) | RedCurl создают запланированную задачу, которая содержит фразы, имеющие отношения к легитимному ПО. Имя директории запланированной задачи «Chrome». Первая часть имени задачи «ChromeBrowserAgent». Имя автора «Google Corporation». | |
Masquerading: Match Legitimate Name or Location (T1036.005) | RedCurl.SimpleDownloader сохраняет следующую стадию в директорию VirtualStore. Данная папка является частью технологии виртуализации, представленной в Windows Vista. | |
System Binary Proxy Execution: Rundll32 (T1218.011) | RedCurl.LNK использует системную утилиту rundll32.exe для запуска RedCurl.SimpleDownloader. | |
Subvert Trust Controls: Mark-of-the-Web Bypass (T1553.005) | RedCurl используют ISO/IMG-файлы для обхода Mark-of-the-Web. | |
Collection (TA0009) | Data from Local System (T1005) | RedCurl.Downloader собирает следующую информацию: имя пользователя, имя компьютера, доменное имя. Также будут собраны имена файлов из директорий %DESKTOP%, %PROGRAMFILES% и%LOCALAPPDATA%. |
Command-and-control (TA0011) | Application Layer Protocol: Web Protocols (T1071.001) | RedCurl.SimpleDownloader использует HTTP-протокол для взаимодействия с C2 сервером и получения следующей стадии. |
Ingress Tool Transfer (T1105) | RedCurl.SimpleDownloader разработан для загрузки следующей стадии с C2 сервера и её выполнения на зараженной системе. |