RedCurl surge como um APT de espionagem corporativa

Pesquisadores de segurança descobriram um novo e prolífico grupo APT culpado por pelo menos 26 ataques de espionagem corporativa direcionados a empresas globais desde 2018.

Chamada de “RedCurl” cria o Group-IB, acredita-se que a entidade fale russo, mas os alvos anteriores estavam localizados na Rússia, Ucrânia, Reino Unido, Alemanha, Canadá e Noruega. As vítimas vêm de uma ampla variedade de setores, incluindo seguros, construção, varejo, bancos, direito, finanças e até agências de viagens.

O objetivo final dos ataques parece ser o roubo de dados corporativos confidenciais, como contratos, documentos financeiros, registros pessoais de funcionários e informações sobre ações judiciais e construção de instalações.

O spear-phishing foi usado extensivamente para atingir equipes específicas nas organizações das vítimas, com os invasores se passando por membros da equipe de RH e enviando seus e-mails a vários destinatários para evitar suspeitas, afirmou o relatório.

Essas mensagens foram elaboradas com tanto cuidado que o Grupo-IB afirmou que se assemelham a exercícios de pen-test da equipe vermelha.

“Para entregar a carga útil, RedCurl usou arquivos, links para os quais foram colocados no corpo do e-mail e levaram a serviços de armazenamento em nuvem legítimos. Os links foram disfarçados para que a vítima não suspeitasse que abrir o documento anexo sobre bônus do site supostamente oficial implantaria um cavalo de Tróia, controlado pelo invasor por meio da nuvem, na rede local ”, explicou o fornecedor.

“O Trojan-downloader RedCurl.Dropper serviu como passagem dos atacantes para o sistema visado que instalou e lançou outros módulos de malware. Como as outras ferramentas personalizadas do grupo, o conta-gotas foi escrito em PowerShell. ”

Com acesso a uma rede de destino, os invasores procuram pastas e documentos e roubam logins de e-mail por meio da ferramenta LaZagne se não encontrarem o que procuram.

RedCurl permanece nas redes das vítimas por uma média de dois a seis meses. A persistência é mantida porque toda a comunicação entre a infraestrutura da vítima e os invasores é feita por meio de armazenamentos de nuvem legítimos, como Cloudme, koofr.net e pcloud.com, e todos os comandos são passados ​​como scripts do PowerShell.

Rustam Mirkasymov, chefe da Equipe de Análise Dinâmica de Malware do Group-IB, argumentou que a espionagem corporativa é um fenômeno relativamente raro no mundo APT.

“Para RedCurl, não faz diferença atacar um banco russo ou uma empresa de consultoria no Canadá. Esses grupos se concentram na espionagem corporativa e empregam várias técnicas para cobrir sua atividade, incluindo o uso de ferramentas legítimas e difíceis de detectar ”, acrescentou.

“O conteúdo dos documentos e registros da vítima pode ser muito mais valioso do que o conteúdo de suas próprias carteiras. Apesar da falta de danos financeiros diretos, que é típico de grupos cibercriminosos com motivação financeira, as consequências da espionagem podem chegar a dezenas de milhões de dólares. ”

Espera-se que, com os detalhes técnicos e IOCs detalhados no relatório, as organizações sejam mais capazes de detectar e bloquear ataques RedCurl no futuro.

Fonte: https://www.infosecurity-magazine.com/news/redcurl-emerges-as-a-corporate/