Group-IB, международная компания, специализирующаяся на предотвращении кибератак, представила аналитический отчет о ранее неизвестной хакерской группе RedCurl, специализирующейся на корпоративном шпионаже. Менее чем за 3 года RedCurl атаковала десятки целей от России до Северной Америки. Группа, предположительно, состоящая из русскоговорящих хакеров, проводит тщательно спланированные атаки на частные компании различных отраслей, используя уникальный инструментарий. Цель атакующих — документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников. Корпоративный шпионаж в целях конкурентной борьбы — редкое явление на хакерской сцене, однако частота атак говорит о том, что вероятнее всего оно получит дальнейшее распространение.

Group-IB впервые раскрыла тактику, инструменты и особенности инфраструктуры группы RedCurl. Документ, доступный на сайте компании, приводит подробное описание цепочки атаки, подготовленное специалистами Лаборатории компьютерной криминалистики Group-IB, и уникальные данные, собранные в ходе реагирования на инциденты, атрибутированные к кампаниям RedCurl.

Группа RedCurl, обнаруженная экспертами Group-IB Threat Intelligence, активна как минимум с 2018 года. За это время она совершила 26 целевых атак исключительно на коммерческие организации. Среди них — строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации. RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии.

Группа действовала максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов — контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др. Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции.

Примечательно, что одной из вероятных жертв группы стал сотрудник компании, занимающейся информационной безопасностью и предоставляющей клиентам защиту от таких атак. Всего Group-IB удалось идентифицировать 14 организаций, ставших жертвами шпионажа со стороны RedCurl. Некоторые были атакованы несколько раз. Специалисты Group-IB связывались с каждой пострадавшей организацией. В ряде из них идет реагирование.

Самая ранняя известная атака RedCurl была зафиксирована в мае 2018 года. Как и во всех будущих кампаниях группы, первичным вектором было тщательно проработанное фишинговое письмо. Группа детально изучает инфраструктуру целевой организации; каждое письмо составляется не просто под организацию-жертву, а под конкретную команду внутри нее. Чаще всего атакующие направляли свои письма от имени HR-департамента. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность, например, все получали одинаковую рассылку по ежегодному премированию. Фишинговое письмо составляется максимально качественно — в нем фигурируют подпись, логотип, поддельное доменное имя компании. Специалисты Group-IB Threat Intelligence подчёркивают, что подход RedCurl напоминает социотехнические атаки специалистов по пентесту, в частности, Red Teaming (услуга по проверки способности организации к отражению сложных кибератак с использованием методов и инструментов из арсенала хакерских группировок).

Для доставки полезной нагрузки RedCurl используют архивы, ссылки на которые размещаются в теле письма и ведут на легитимные облачные хранилища. Ссылки замаскированы так, что пользователь не подозревает, что открывая вложение с документом о премировании якобы с официального сайта, он инициирует развертывание трояна, контролируемого атакующими через облако, в локальной сети. Троян-загрузчик RedCurl.Dropper — пропуск злоумышленников в целевую систему, который установит и запустит остальные модули ВПО. Как и весь собственный инструментарий группы, дроппер был написан на языке PowerShell.

Главная цель RedCurl — кража документации из инфраструктуры жертвы и корпоративной переписки. Оказавшись в сети, злоумышленники сканируют список папок и офисных документов, доступных с зараженной машины. Информация о них отправляется на облако, и оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно все найденные на сетевых дисках файлы с расширениями *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx подменялись на ярлыки в виде модифицированных LNK-файлов. При открытии такого файла другим пользователем происходит запуск RedCurl.Dropper. Таким образом, RedCurl заражают большее количество машин внутри организации-жертвы и продвигаются по системе.

Также злоумышленники стремятся получить учетные данные от электронной почты. Для этого используется инструмент LaZagne, который извлекает пароли из памяти и из файлов, сохраненных в веб-браузере жертвы. Если необходимые данные получить не удается, RedCurl задействуют сценарий Windows PowerShell, который показывает жертве всплывающее фишинговое окно MicrosoftOutlook. Как только доступ к электронной почте жертвы получен, RedCurl проводят анализ и выгрузку всех интересующих их документов на облачные хранилища.

В ходе реагирований на инциденты, связанные с группой RedCurl, DFIR-специалисты Group-IB выяснили, что после получения первоначального доступа атакующие находятся в сети жертвы от 2-х до 6-ти месяцев. Троян RedCurl.Dropper, как и остальные инструменты группы, не подключается к командному серверу злоумышленников напрямую. Вместо этого все взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища, такие как Cloudme, koofr.net, pcloud.com и другие. Все команды отдаются в виде PowerShell скриптов. Это позволяет RedCurl оставаться невидимыми для традиционных средств защиты длительное время.

«Корпоративный шпионаж, как элемент недобросовестной конкурентной борьбы — достаточно редкое явление в мире APT, — прокомментировал Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода компании Group-IB. — Для RedCurl нет никакой разницы кого атаковать: российский банк или консалтинговую компанию в Канаде. Такие группы специализируются на корпоративном шпионаже, применяя техники сокрытия своей активности, в том числе, за счет использования легитимных инструментов, которые сложно детектировать. Содержимое чужих писем для них гораздо ценнее содержимого чужих кошельков. Несмотря на отсутствие прямого финансового ущерба, как в случае с финансово-мотивированными киберкриминальными группами, последствия шпионской деятельности могут исчисляться десятками миллионов долларов».

До выпуска отчета Group-IB «RedCurl: пентест, о котором вы не просили» никаких технических данных о группе не было, что затрудняло выявление ее атак на ранней стадии. Group-IB впервые привели индикаторы компрометации, которые, могут быть использованы организациями для проверки своих сетей на факт возможного проникновения RedCurl. На данный момент, Group-IB продолжает фиксировать новые атаки RedCurl в разных странах мира.