2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Хакеры по; вызову: Group-IB раскрыла группу RedCurl, занимающуюся корпоративным шпионажем

Хакеры по вызову: Group-IB раскрыла группу RedCurl, занимающуюся корпоративным шпионажем

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, сегодня представила аналитический отчет о ранее неизвестной хакерской группе RedCurl, специализирующейся на корпоративном шпионаже. Менее чем за 3 года RedCurl атаковала десятки целей от России до Северной Америки. Группа, предположительно, состоящая из русскоговорящих хакеров, проводит тщательно спланированные атаки на частные компании различных отраслей, используя уникальный инструментарий. Цель атакующих — документы, представляющие коммерческую тайну и содержащие персональные данные сотрудников. Корпоративный шпионаж в целях конкурентной борьбы — редкое явление на хакерской сцене, однако частота атак говорит о том, что вероятнее всего оно получит дальнейшее распространение.

Group-IB впервые раскрывает тактику, инструменты и особенности инфраструктуры группы RedCurl. Документ, доступный на сайте компании, приводит подробное описание цепочки атаки, подготовленное специалистами Лаборатории компьютерной криминалистики Group-IB, и уникальные данные, собранные в ходе реагирования на инциденты, атрибутированные к кампаниям RedCurl.

От России до Канады

Группа RedCurl, обнаруженная экспертами Group-IB Threat Intelligence, активна как минимум с 2018 года. За это время она совершила 26 целевых атак исключительно на коммерческие организации. Среди них строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические и туристические организации.
RedCurl не имеет четкой географической привязки к какому-либо региону: ее жертвы располагались в России, Украине, Великобритании, Германии, Канаде и Норвегии.

Группа действовала максимально скрытно, чтобы минимизировать риск обнаружения в сети жертвы. Во всех кампаниях главной целью RedCurl была кража конфиденциальных корпоративных документов — контрактов, финансовой документации, личных дел сотрудников, документов по судебным делам, по строительству объектов и др. Все это может свидетельствовать о заказном характере атак RedCurl с целью недобросовестной конкуренции.

Примечательно, что одной из вероятных жертв группы стал сотрудник компании, занимающейся информационной безопасностью и предоставляющей клиентам защиту от таких атак. Всего Group-IB удалось идентифицировать 14 организаций, ставших жертвами шпионажа со стороны RedCurl. Некоторые были атакованы несколько раз. Специалисты Group-IB связывались с каждой пострадавшей организацией. В ряде из них идет реагирование.

Who are you Mr. Pentester?

Самая ранняя известная атака RedCurl была зафиксирована в мае 2018 года. Как и во всех будущих кампаниях группы, первичным вектором было тщательно проработанное фишинговое письмо. Группа детально изучает инфраструктуру целевой организации; каждое письмо составляется не просто под организацию-жертву, а под конкретную команду внутри нее. Чаще всего атакующие направляли свои письма от имени HR-департамента. Как правило, атака шла на нескольких сотрудников одного отдела, чтобы снизить их бдительность, например, все получали одинаковую рассылку по ежегодному премированию. Фишинговое письмо составляется максимально качественно — в нем фигурируют подпись, логотип, поддельное доменное имя компании. Специалисты Group-IB Threat Intelligence подчёркивают, что подход RedCurl напоминает социотехнические атаки специалистов по пентесту, в частности, Red Teaming (услуга по проверки способности организации к отражению сложных кибератак с использованием методов и инструментов из арсенала хакерских группировок).

Читать еще:  Отличие касперский фри от интернет секьюрити. Чем опасен Антивирус Касперского? Что есть в бесплатной версии Kaspersky Internet Security для Android

Облако с секретом

Для доставки полезной нагрузки RedCurl используют архивы, ссылки на которые размещаются в теле письма и ведут на легитимные облачные хранилища. Ссылки замаскированы так, что пользователь не подозревает, что открывая вложение с документом о премировании якобы с официального сайта, он инициирует развертывание трояна, контролируемого атакующими через облако, в локальной сети. Троян-загрузчик RedCurl.Dropper — пропуск злоумышленников в целевую систему, который установит и запустит остальные модули ВПО. Как и весь собственный инструментарий группы, дроппер был написан на языке PowerShell.

Главная цель RedCurl — кража документации из инфраструктуры жертвы и корпоративной переписки. Оказавшись в сети, злоумышленники сканируют список папок и офисных документов, доступных с зараженной машины. Информация о них отправляется на облако, и оператор RedCurl решает, какие папки и файлы выгрузить. Параллельно все найденные на сетевых дисках файлы с расширениями *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx подменялись на ярлыки в виде модифицированных LNK-файлов. При открытии такого файла другим пользователем происходит запуск RedCurl.Dropper. Таким образом, RedCurl заражают большее количество машин внутри организации-жертвы и продвигаются по системе.

Также злоумышленники стремятся получить учетные данные от электронной почты. Для этого используется инструмент LaZagne, который извлекает пароли из памяти и из файлов, сохраненных в веб-браузере жертвы. Если необходимые данные получить не удается, RedCurl задействуют сценарий Windows PowerShell, который показывает жертве всплывающее фишинговое окно Microsoft Outlook. Как только доступ к электронной почте жертвы получен, RedCurl проводят анализ и выгрузку всех интересующих их документов на облачные хранилища.

Скрывая следы

В ходе реагирований на инциденты, связанные с группой RedCurl, DFIR-специалисты Group-IB выяснили, что после получения первоначального доступа атакующие находятся в сети жертвы от 2-х до 6-ти месяцев. Троян RedCurl.Dropper, как и остальные инструменты группы, не подключается к командному серверу злоумышленников напрямую. Вместо этого все взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища, такие как Cloudme, koofr.net, pcloud.com и другие. Все команды отдаются в виде PowerShell скриптов. Это позволяет RedCurl оставаться невидимыми для традиционных средств защиты длительное время.

Рустам Миркасымов

Руководитель отдела динамического анализа вредоносного кода, эксперт по киберразведке Group-IB

Читать еще:  Руби язык программирования что на нем пишут. Ruby для начинающих: чем интересен этот язык и как его эффективно изучать. Ruby: интерпретируемый, чистый ООП-язык

До выпуска отчета Group-IB «RedCurl: пентест, о котором вы не просили» никаких технических данных о группе не было, что затрудняло выявление ее атак на ранней стадии. Group-IB впервые привели индикаторы компрометации, которые, могут быть использованы организациями для проверки своих сетей на факт возможного проникновения RedCurl. На данный момент, Group-IB продолжает фиксировать новые атаки RedCurl в разных странах мира.

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, Forrester, IDC.

В основе технологического лидерства компании – 17-летний опыт расследования киберпреступлений по всему миру и более 60 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB.

Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.

Первая фаза: хакерская атака

Атака произошла ещё в начале июня, однако подробности о ней стали известны только сейчас. Ответственность за взлом взяла на себя группировка под названием Netwalker. По информации журналистов Bloomberg, Netwalker и раньше совершала киберпреступления против организаций в сфере здравоохранения.

В руководстве университета подтвердили, что целью была исследовательская группа, тестирующая возможную вакцину от коронавируса. Университет предупредил экспертов по безопасности и правоохранительные органы об атаке. Чуть позже была проведена оценка нанесенного ущерба.

Один из корпусов Калифонийского университета

Напомним, во время вымогательской атаки злоумышленники блокируют доступ к важной информации, требуя при этом выкуп. В данном случае Netwalker тоже огласили свои условия — первоначально хакеры рассчитывали получить три миллиона долларов в качестве выкупа. Именно такую сумму они запросили.

Популярная система управления сайтом подверглась атакам

В России, как и по всему миру, резко выросло число атак на сайты, работающие на бесплатной системе WordPress. Ее используют более половины всех сайтов в зоне .ru. Получив контроль над таким ресурсом, злоумышленники могут разместить на нем вредоносное ПО, проводить DDoS- или фишинговые атаки, распространение которых выросло с переходом на удаленную работу, отмечают эксперты.

Число атак на пользователей российских сайтов под управлением WordPress с начала 2020 года выросло в два раза по сравнению с аналогичным периодом 2019 года, рассказали “Ъ” в «Лаборатории Касперского». По данным компании, в 2020 году около 730 тыс. раз пользователи, посещавшие сайты из доменной зоны .ru под управлением WordPress столкнулись с вредоносным софтом, а число уникальных адресов, с которых распространялись вредоносные объекты, достигло 38 тыс.

WordPress — система управления содержимым сайта (CMS), которая предоставляет инструменты для управления контентом, его публикации, хранения и для организации совместной работы с ним. Распространяется как свободное программное обеспечение (ПО), модернизация и развитие которого осуществляется программистами на добровольных началах. По данным сайта WordPress, на этой CMS работают около 35% всех сайтов в мире.

Читать еще:  Как настроить привилегии на сервере майнкрафт. PermissionsEX - Управление группами

О глобальной вредоносной кампании, нацеленной на сайты под управлением WordPress, 5 мая предупредили специалисты компании Wordfence. Объем фиксируемого ею вредоносного трафика по всему миру превысил обычные показатели в 30 раз, в сообщении компании также отмечается, что за последнюю неделю злоумышленники попытались взломать около 1 млн сайтов.

В зоне .ru на WordPress работает 51% всех сайтов (524,5 тыс.), свидетельствуют данные Reg.ru. У Координационного центра РФ другие данные — по их подсчетам, WordPress используют 15,4% сайтов зоны .ru, при этом 64,7% сайтов эта структура относит к «прочим» CMS, то есть при их анализе выявить систему управления содержимым не удалось.

Хакеры вышли на видеосвязь

При атаке сайта, работающего на WordPress, хакеры используют набор уже известных уязвимостей в дополнениях для этой CMS: обнаружив брешь на сайте, они не только встраивают вредоносный код для перенаправления пользователей, но и оставляют за собой возможность в дальнейшем управлять этим сайтом, а также, например, устанавливают на него скрипт контрольного сервера для сложных целевых атак, рассказал старший антивирусный эксперт «Лаборатории Касперского» Денис Легезо.

Обнаружение критически опасной уязвимости в CMS позволяет автоматически атаковать сразу множество сайтов, отмечает директор экспертного центра безопасности Positive Technologies Алексей Новиков. По его оценке, в этом случае злоумышленники могут продавать доступ к одному сайту всего за ,15.

Данные интересуют хакеров больше денег

Скомпрометированные веб-ресурсы на WordPress могут использоваться злоумышленниками как промежуточные звенья для размещения вредоносного ПО и последующего фишинга, для DDoS-атак и для взлома инфраструктуры организаций, отмечает директор центра мониторинга и реагирования на киберугрозы Solar JSOC «Ростелекома» Владимир Дрюков. Так, например, уже проходили массовые рассылки вируса-шифровальщика Troldesh: фишинговые письма содержали ссылки на взломанные интернет-ресурсы на WordPress, откуда на компьютер жертвы скачивался шифровальщик. Опасность в том, что такие письма не детектируются большинством средств защиты, так как содержат ссылку на легитимный веб-ресурс, предупреждает господин Дрюков, напоминая, что с переходом на удаленный режим работы число фишинговых атак выросло.

С момента запуска ограничительных мер в связи с пандемией количество атак на российские ресурсы выросло на 20–25%, оценивает вице-президент ГК InfoWatch Рустэм Хайретдинов. При этом хакеры, по его словам, атакуют сайты не только на WordPress, но и на других платформах, так как массовые атаки, в отличие от целевых, совершаются на те ресурсы, в которых уязвимости не закрыты, то есть идут не от цели, а от возможности.

Юлия Степанова, Дмитрий Шестоперов

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector