Empresa de segurança identifica grupo especializado em ataques persistentes

Um grupo avançado de ameaças persistentes foi além do modus operandi do simples crime cibernético para se especializar em espionagem corporativa.

RedCurl, o adversário oculto

A empresa de segurança cibernética Group-IB descobriu o grupo chamado RedCurl, que conduz ataques cuidadosamente planejados contra vítimas em várias geografias para roubar documentos corporativos confidenciais.

• Ativo desde 2018, RedCurl lançou 26 campanhas diferentes contra 14 organizações do setor privado nos setores de construção, consultoria, mineração, siderurgia, financeiro, varejo, turismo, jurídico e de seguros na América do Norte, Europa e países da CEI.
• Em vez de usar ferramentas complexas ou técnicas de hacking para seus ataques, o grupo confiou fortemente em spear-phishing e táticas de engenharia social.
• Ao usar serviços legítimos para se comunicar com seus servidores de comando e controle (C2), ela tem sido muito bem-sucedida em voar sob o radar até agora.

Seguindo o caminho da nuvem

O grupo tem usado suas cargas por meio de links para arquivos armazenados em vários serviços de armazenamento em nuvem pública.

• Redcurl usou o Dropbox e um grande número de outros serviços de armazenamento gratuitos como CloudMe, Framagenda, Syncwerk e outros.
• O ator da ameaça também usa a plataforma MultCloud para gerenciar e acessar o espaço de armazenamento desses serviços em nuvem e a ferramenta de código aberto LaZagne para roubar credenciais.
• Desde o início de 2020, o grupo tem usado arquivos LNK (atalho) e XLAM (complemento habilitado para macro do Excel) boobytrapped para implantar seu dropper.

Pequeno flashback

Em 2019 , o RedCurl confiava fortemente em um cavalo de Troia personalizado para primeiro roubar documentos importantes das vítimas e depois instalar o minerador XMRIG para minerar a criptomoeda Monero na infraestrutura alvo.

O resultado final

As atividades e competências da Redcurl são especializadas em atividades de espionagem corporativa. Tem conduzido ataques planejados de espionagem contra várias vítimas em uma distribuição geográfica. O grupo ampliou significativamente sua rede, pois se esforça para permanecer despercebido pelo maior tempo possível e não usa nenhum cavalo de Troia ativo que possa revelar sua presença.

Fonte: https://arstechnica.com/information-technology/2020/07/russias-gru-hackers-hit-us-government-and-energy-targets/