Хакеры по вызову: Group-IB раскрыла группу RedCurl, занимающуюся корпоративным шпионажем

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сегодня представила аналитический отчет о ранее неизвестной хакерской группе RedCurl, специализирующейся на корпоративном шпионаже. Менее чем за 3 года RedCurl атаковала десятки целей от России до Северной Америки. Группа, предположительно, состоящая из русскоговорящих хакеров, проводит тщательно спланированные атаки на частные компании различных отраслей, используя уникальный инструментарий. Цель атакующих документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников. Корпоративный шпионаж в целях конкурентной борьбы редкое явление на хакерской сцене, однако частота атак говорит о том, что вероятнее всего оно получит дальнейшее распространение.

Group-IB впервые раскрывает тактику, инструменты и особенности инфраструктуры группы RedCurl. Документ, доступный на сайте компании, приводит подробное описание цепочки атаки, подготовленное специалистами Лаборатории компьютерной криминалистики Group-IB, и уникальные данные, собранные в ходе реагирования на инциденты, атрибутированные к кампаниям RedCurl.

От России до Канады

Группа RedCurl, обнаруженная экспертами Group-IB Threat Intelligence, активна как минимум с 2018 года. За это время она совершила 26 целевых атак исключительно на коммерческие организации. Среди них строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации.
RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии.

Группа действовала максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др. Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции.

Примечательно, что одной из вероятных жертв группы стал сотрудник компании, занимающейся информационной безопасностью и предоставляющей клиентам защиту от таких атак. Всего Group-IB удалось идентифицировать 14 организаций, ставших жертвами шпионажа со стороны RedCurl. Некоторые были атакованы несколько раз. Специалисты Group-IB связывались с каждой пострадавшей организацией. В ряде из них идет реагирование.

Who are you Mr. Pentester?

Самая ранняя известная атака RedCurl была зафиксирована в мае 2018 года. Как и во всех будущих кампаниях группы, первичным вектором было тщательно проработанное фишинговое письмо. Группа детально изучает инфраструктуру целевой организации; каждое письмо составляется не просто под организацию-жертву, а под конкретную команду внутри нее. Чаще всего атакующие направляли свои письма от имени HR-департамента. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность, например, все получали одинаковую рассылку по ежегодному премированию. Фишинговое письмо составляется максимально качественно в нем фигурируют подпись, логотип, поддельное доменное имя компании. Специалисты Group-IB Threat Intelligence подчёркивают, что подход RedCurl напоминает социотехнические атаки специалистов по пентесту, в частности, Red Teaming (услуга по проверки способности организации к отражению сложных кибератак с использованием методов и инструментов из арсенала хакерских группировок).

Облако с секретом

Для доставки полезной нагрузки RedCurl используют архивы, ссылки на которые размещаются в теле письма и ведут на легитимные облачные хранилища. Ссылки замаскированы так, что пользователь не подозревает, что открывая вложение с документом о премировании якобы с официального сайта, он инициирует развертывание трояна, контролируемого атакующими через облако, в локальной сети. Троян-загрузчик RedCurl.Dropper пропуск злоумышленников в целевую систему, который установит и запустит остальные модули ВПО. Как и весь собственный инструментарий группы, дроппер был написан на языке PowerShell.

Главная цель RedCurl кража документации из инфраструктуры жертвы и корпоративной переписки. Оказавшись в сети, злоумышленники сканируют список папок и офисных документов, доступных с зараженной машины. Информация о них отправляется на облако, и оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно все найденные на сетевых дисках файлы с расширениями *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx подменялись на ярлыки в виде модифицированных LNK-файлов. При открытии такого файла другим пользователем происходит запуск RedCurl.Dropper. Таким образом, RedCurl заражают большее количество машин внутри организации-жертвы и продвигаются по системе.

Также злоумышленники стремятся получить учетные данные от электронной почты. Для этого используется инструмент LaZagne, который извлекает пароли из памяти и из файлов, сохраненных в веб-браузере жертвы. Если необходимые данные получить не удается, RedCurl задействуют сценарий Windows PowerShell, который показывает жертве всплывающее фишинговое окно Microsoft Outlook. Как только доступ к электронной почте жертвы получен, RedCurl проводят анализ и выгрузку всех интересующих их документов на облачные хранилища.

Скрывая следы

В ходе реагирований на инциденты, связанные с группой RedCurl, DFIR-специалисты Group-IB выяснили, что после получения первоначального доступа атакующие находятся в сети жертвы от 2-х до 6-ти месяцев. Троян RedCurl.Dropper, как и остальные инструменты группы, не подключается к командному серверу злоумышленников напрямую. Вместо этого все взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища, такие как Cloudme, koofr.net, pcloud.com и другие. Все команды отдаются в виде PowerShell скриптов. Это позволяет RedCurl оставаться невидимыми для традиционных средств защиты длительное время.

Корпоративный шпионаж как элемент недобросовестной конкурентной борьбы достаточно редкое явление в мире APT. Для RedCurl нет никакой разницы кого атаковать: российский банк или консалтинговую компанию в Канаде. Такие группы специализируются на корпоративном шпионаже, применяя техники сокрытия своей активности, в том числе, за счет использования легитимных инструментов, которые сложно детектировать. Содержимое чужих писем для них гораздо ценнее содержимого чужих кошельков. Несмотря на отсутствие прямого финансового ущерба, как в случае с финансово-мотивированными киберкриминальными группами, последствия шпионской деятельности могут исчисляться десятками миллионов долларов.

Рустам Миркасымов
Рустам Миркасымов

Руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB

До выпуска отчета Group-IB «RedCurl: пентест, о котором вы не просили» никаких технических данных о группе не было, что затрудняло выявление ее атак на ранней стадии. Group-IB впервые привели индикаторы компрометации, которые, могут быть использованы организациями для проверки своих сетей на факт возможного проникновения RedCurl. На данный момент, Group-IB продолжает фиксировать новые атаки RedCurl в разных странах мира.

О компании

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления мошенничества, исследования высокотехнологичных преступлений и защиты интеллектуальной собственности в сети. Штаб-квартира Group-IB расположена в Москве. Компания является резидентом «Сколково» и Иннополиса.

В основе технологического лидерства Group-IB — 19-летний практический опыт исследований киберпреступлений по всему миру и более 70 000 часов реагирования на инциденты информационной безопасности, аккумулированные в одной из крупнейших лабораторий компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Решения Group-IB признаны ведущими аналитическими агентствами Forrester, Gartner, IDC и только в 2022 году получили 8 золотых наград в рамках Cybersecurity Excellence Awards.