Дослідники з питань безпеки з команди Group-IB викрили одну досить просунуту групу хакерів, яка була автором щонайменше 26 великомасштабних цільових атак із 2018 року.

Названа RedCurl, хакерська група зосереджена на промисловому шпигунстві у різних галузях, включаючи банківську діяльність, будівництво, консалтинг, фінанси, страхування, право, роздріб та подорожі. Вважається, що однією з цілей атаки був працівник вищезгаданої компанії з кібербезпеки, пише Securityweek.

Імовірно пов’язана з росіянами, група атакувала цілі у Канаді, Німеччині, Норвегії, Росії, Україні та Великобританії. Загалом 14 організацій стали жертвами нападів, деякі цілі були атаковані повторно.

RedCurl досягла великої майстерності у крадіжці файлів, що містять або комерційну таємницю (наприклад, договори, фінансові документи та записи про юридичні дії), або особисту інформацію працівників, що дозволяє припустити, що група була створена з метою корпоративного шпигунства, повідомляє Group-IB.

Наприклад, якщо брати травень 2018 року, коли сталася найперша відома атака, приписувана APT,  то виявилося, що група використовувала фішинг як початковий вектор, і  противник глибоко знав інфраструктуру жертви, орієнтуючись на конкретні команди. Архівні файли використовувались для доставки корисних навантажень, використовуючи посилання на законні сервіси хмарного сховища. Троян-завантажувач PowerShell використовувався для отримання та виконання додаткових модулів зловмисного програмного забезпечення.

Закріпившись на інфраструктурі жертви, зловмисники перевіряли папки та офісні документи, до яких можна дістатись із зараженої системи, а потім вирішували, чи цікавить  їх якийсь вміст. Утиліта curl використовувалася для ексфільтрації вмісту до хмари. Противник також замінював файли * .jpg, * .pdf, * .doc, * .docx, * .xls та * .xlsx на мережевих накопичувачах із зміненими ярликами LNK, щоб дроп-файл RedCurl був запущений при спробі користувача. щоб їх відкрити. Таким чином, зловмисне програмне забезпечення APT поширювалося у внутрішній мережі жертви.

Ідентифікатори електронної пошти також були спрямовані на ексфільтрацію за допомогою інструменту LaZagne, який був розроблений для отримання паролів із пам’яті та веб-браузера. Зловмисники також використовували фішинг через спливаюче вікно Microsoft Outlook, щоб обманути жертву та змусити її  розкрити облікові дані електронної пошти. Потім сценарій PowerShell аналогічно запускали для пошуку та крадіжки цікавих документів.

Група залишалася в мережах жертв тривалий час – від двох до шести місяців. Хмарне сховище використовувалося для забезпечення зв’язку між шкідливим програмним забезпеченням та зловмисниками, при цьому команди передавались як сценарії PowerShell. Хакерська група використовувала різноманітні сценарії PowerShell, які, за словами Group-IB, можна вважати рамками, і які, крім початкового  дроп-файлп, включають FirstStageAgent (званий FSA) та два підмодулі. FSA та його підмодулі давали команди збирати інформацію про заражену систему та Active Directory, облікові дані. журнали, отримувати список інших машин у мережі, заражати файли на спільних ресурсах, розшифровувати електронні листи, запускати DLL, видаляти сліди зараження, конфігурувати доступ до SSH, ексфільтрувати дані тощо.

У своєму звіті про APT Group-IB також виявляє, що група зазвичай не використовує протокол віддаленого робочого столу або подібні вектори зв’язку, які зазвичай використовуються групами кібершпигунів.  Натомість інтерактивний доступ забезпечується за допомогою інструментів SSH та командного рядка. Атаки RedCurl  можуть бути  продовженням раніше проаналізованих кампаній RedOctober та CloudAtlas, але, незважаючи на деякі подібності, зв’язок між цими кампаніями наразі не може бути підтверджений, зазначають дослідники.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як змінити пароль у Facebook? ІНСТРУКЦІЯ

Що робити, щоб унеможливити відслідковування Вашого телефону? Поради

“Додайте гучності!” Вісім способів покращити звук на Вашому смартфоні

Як захистити дані на смартфоні, якщо Ви його втратите? ІНСТРУКЦІЯ

Нагадаємо, через американські санкції компанія Huawei буде змушена повністю припинити виробництво смартфонів, побудованих на базі процесорів власного виробництва з лінійки HiSilicon Kirin. Пов’язано це з тим, що тайванський виробник чипсетів TSMC не зможе використовувати американське обладнання для виготовлення продукції цього бренду, так як влада США заборонила це робити з 16 вересня 2020 року.

Також на конференції з інформаційної безпеки Black Hat 2020 фахівець Patrick Wardle з компанії Jamf розповів про низку експлойтів, що дозволяє обійти захист Microsoft від шкідливих макросів для зараження пристроїв під управлінням macOS. Уразливості представляють собою так звані zero-click, тобто, для їх експлуатації участь жертви не потрібна. Вони дозволяють зловмисникам доставляти шкідливе ПЗ користувачам macOS за допомогою документа Microsoft Office з макросами.

Окрім цього, використовуючи KrØØk, зловмисники можуть перехоплювати та розшифровувати конфіденційні дані жертв. Це можливо завдяки тому, що дані бездротової мережі шифруються за допомогою парного сеансового ключа WPA2, що складається з нулів, замість належного сеансового ключа. Для перехоплення даних кіберзлочинцям не потрібно знати навіть пароль від Wi-Fi, а достатньо знаходитися в межах сигналу Wi-Fi.

Зауважте, що шахраї навчилися красти інформацію через підробку Saved Messages у Telegram. Цим чатом люди користуються як листуванням з самим собою, і можуть зберігати там важливі і конфіденційні відомості.

До речі, шкідливі розширення були виявлені у Chrome Web Store під час вивчення декількох підроблених блокувальників реклами, що розповсюджувалися через магазин розширень. Фахівці виявили 295 шкідливих розширень, завантажених з магазину понад 80 млн разів.

Ця стаття Хакерська група RedCurl, за якою можуть стояти росіяни, атакувала низку компаній раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим