Специалисты компании Group-IB рассказали об обнаружении хакерской группы RedCurl, которая специализируется на корпоративном шпионаже и на протяжении трех лет атаковала десятки целей от России до Северной Америки. Цели По данным исследователей, группа, предположительно, состоит из русскоговорящих хакеров и использует уникальный инструментарий для своих атак. Главной целью атакующих обычно являются документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников. Корпоративный шпионаж в целях конкурентной борьбы — редкое явление на хакерской сцене, однако частота атак RedCurl говорит о том, что вероятнее всего оно получит дальнейшее распространение. RedCurl активна как минимум с 2018 года. За это время хакеры совершили 26 целевых атак исключительно на коммерческие организации. Среди них были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации. При этом RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии. Группа действует максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов — контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и так далее. Аналитики пишут, что все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции. В общей сложности Group-IB удалось идентифицировать 14 организаций, ставших жертвами шпионажа со стороны RedCurl. Некоторые из них были атакованы несколько раз. Специалисты ­связывались с каждой пострадавшей организацией, и в настоящее время в ряде из них идет реагирование. Самая ранняя известная атака RedCurl зафиксирована в мае 2018 года. Как и во всех будущих кампаниях группы, первичным вектором было тщательно проработанное фишинговое письмо. Группа детально изучает инфраструктуру целевой организации; каждое письмо составляется не просто под организацию-жертву, а под конкретную команду внутри нее. Чаще всего атакующие направляли свои письма от имени HR-департамента. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность. Например, все получали одинаковую рассылку по ежегодному премированию. Фишинговое письмо составляется максимально качественно — в нем фигурируют подпись, логотип, поддельное доменное имя компании. Специалисты Group-IB подчеркивают, что подход RedCurl напоминает атаки специалистов по пентесту, в частности, Red Teaming. Инструментарий Для доставки полезной нагрузки RedCurl использует архивы, ссылки на которые размещаются в теле письма и ведут на легитимные облачные хранилища. Ссылки замаскированы таким образом, чтобы пользователь не подозревал, что открывая вложение с документом о премировании якобы с официального сайта, он инициирует развертывание трояна, контролируемого атакующими через облако, в локальной сети. Троян-загрузчик RedCurl.Dropper — пропуск злоумышленников в целевую систему, который установит и запустит остальные модули малвари. Как и весь собственный инструментарий группы, дроппер был написан на языке PowerShell. Как уже было сказано выше, главная цель RedCurl — кража документации из инфраструктуры жертвы и корпоративной переписки. Оказавшись в сети, злоумышленники сканируют список папок и офисных документов, доступных с зараженной машины. Информация о них отправляется на облако, и оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно все найденные на сетевых дисках файлы с расширениями *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx подменялись на ярлыки в виде модифицированных LNK-файлов. При открытии такого файла другим пользователем происходит запуск RedCurl.Dropper. Таким образом, RedCurl заражает большее количество машин внутри организации-жертвы и продвигается по системе. Также злоумышленники стремятся получить учетные данные от электронной почты. Для этого используется инструмент LaZagne, который извлекает пароли из памяти и из файлов, сохраненных в браузере жертвы. Если необходимые данные получить не удается, RedCurl задействуют скрипт Windows PowerShell, который показывает жертве всплывающее фишинговое окно Microsoft Outlook. Как только доступ к электронной почте жертвы получен, RedCurl проводят анализ и выгрузку всех интересующих их документов на облачные хранилища. После получения первоначального доступа атакующие находятся в сети жертвы от 2 до 6 месяцев. Троян RedCurl.Dropper, как и остальные инструменты группы, не подключается к командному серверу злоумышленников напрямую. Вместо этого все взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища, такие как Cloudme, koofr.net, pcloud.com и другие. Все команды отдаются в виде PowerShell скриптов. Это позволяет RedCurl оставаться невидимыми для традиционных средств защиты длительное время. «Корпоративный шпионаж как элемент недобросовестной конкурентной борьбы — достаточно редкое явление в мире APT. Для RedCurl нет никакой разницы, кого атаковать: российский банк или консалтинговую компанию в Канаде. Такие группы специализируются на корпоративном шпионаже, применяя техники сокрытия своей активности, в том числе, за счет использования легитимных инструментов, которые сложно детектировать. Содержимое чужих писем для них гораздо ценнее содержимого чужих кошельков. Несмотря на отсутствие прямого финансового ущерба, как в случае с финансово-мотивированными киберкриминальными группами, последствия шпионской деятельности могут исчисляться десятками миллионов долларов», — комментирует Рустам Миркасымов, руководитель отдела динамического анализа вредоносного кода и эксперт по киберразведке в Group-IB.