Компания F.A.С.С.T., российский разработчик технологий для борьбы с киберпреступлениями, фиксирует новые атаки хакерской группы RedCurl, специализирующейся на коммерческом шпионаже и краже корпоративной документации. На этот раз одной из жертв русскоговорящих хакеров стал крупный российский банк — киберпреступники атаковали его дважды: сначала напрямую с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем — через компанию-подрядчика.
Ранее неизвестная группа RedCurl была раскрыта компанией F.A.С.С.T. (экс-Group-IB) в конце 2019 года. Группа, предположительно, состоящая из русскоговорящих хакеров, привлекла внимание экспертов тем, что проводила тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий. По данным компании F.A.С.С.T., группа активна, как минимум, с 2018 года.
Цепочка атаки, инструменты, тактики и техники RedCurl впервые были подробно описаны в отчете 2020 года «RedCurl. Пентест о котором вы не просили», а год спустя — в исследовании «RedCurl. Пробуждение».
По данным F.A.C.C.T., за четыре с половиной года RedCurl атаковала 34 цели: 20 из них — в России, остальные — в Великобритании, Германии, Канаде, Норвегии, на Украине. Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации. С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.
Обход с фланга
Новое исследование F.A.С.С.T. раскрывает атаки RedCurl в ноябре 2022 и в мае 2023 года. В обеих кампаниях первоначальным вектором проникновения в инфраструктуру организации стали рассылки фишинговых писем с вредоносным программным обеспечением. На этот раз в своих сообщениях-приманках злоумышленники использовали бренд популярного маркетплейса — получателям письма и членам их семей обещали корпоративную скидку 25% на все товары.
Целью ноябрьской атаки оказался крупный российский банк из перечня системно значимых кредитных организаций. Киберпреступная группа сделала вредоносную рассылку, но вредоносные письма были обнаружены, заблокированы и не попали к адресатам благодаря решению для автоматизированной защиты электронной почты F.A.C.C.T. Business Email Protection, которое было установлено в инфраструктуре финансовой организации.
После неудачи хакеры из RedCurl переключились на подрядчика банка, использовав тактику Supply Chain (атака на поставщика). Получив доступ к компьютеру сотрудника организации-подрядчика, предположительно, через фишинговую рассылку, киберпреступники смогли проникнуть на общий сетевой диск с документами клиента, что позволило попасть в инфраструктуру финансовой организации.
Инструменты: модульные, легкие, свои
В ходе реагирований на инциденты в ноябре 2022 и мае этого года эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. собрали и изучили семплы вредоносных программ, которые использовали хакеры RedCurl.
В качестве программы-загрузчика для первого этапа заражения группировка использовала RedCurl.SimpleDownloader, специально созданный под новую кампанию с использованием бренда маркетплейса. По мнению экспертов F.A.C.C.T., это новый полноценный инструмент группировки, который будет модифицироваться и применяться в других атаках RedCurl. На следующем этапе кампании использовался модернизированный загрузчик RedCurl.Downloader для подгрузки RedCurl.Extractor. Это программа предназначена для установки агента RedCurl.FSABIN, который в свою очередь предоставляет злоумышленнику удаленный контроль над зараженной машиной.
«После обнаружения RedCurl в 2019 году наши специалисты Threat Intelligence отслеживают все изменения в их тактике и инструментах группы. Такие группы, как RedCurl, безусловно, представляет угрозу для российских компаний, которые не обладают решениями для раннего предотвращения сложных атак. Тем более, что, судя по ноябрьской атаке на банк, наше решение по автоматизированной защите электронной почты отработало успешно, но атакующие нашли слабое звено в виде поставщика — этот вектор атаки необходимо также учитывать».
Генеральный директор компании F.A.С.С.T.
Для защиты от угроз, подобных кампаниям группы RedCurl, организациям необходим комплексный подход: автоматизированная защита электронной почты от фишинговых рассылок с помощью решения F.A.С.С.T. Business Email Protection (BEP), система для проактивного поиска и защиты от сложных и неизвестных киберугроз F.A.C.C.T. Managed XDR, а также F.A.C.C.T. Threat Intelligence — комплексное решение для исследования и атрибуции кибератак, содержащее структурированные данные о тактиках, инструментах и активности злоумышленников.
Следуя миссии борьбы с киберпреступностью, специалисты F.A.C.C.T. публикуют в исследовании описание цепочки заражения (KillChain) группы RedCurl, индикаторы компрометации и рекомендации по защите в соответствии с матрицей MITRE ATT&CK.
