Эксперты F.A.C.C.T. Threat Intelligence проанализировали новые атаки русскоговорящей хак-группы в Юго-Восточной Азии и Австралии
В октябре 2023 года команда F.A.C.C.T. Threat Intelligence обнаружила файлы, которые использовала шпионская группа RedCurl для атак на потенциальные цели в Австралии, Сингапуре и Гонконге. Речь о компаниях, работающих в сфере строительства, логистики, авиаперевозок, горнодобывающей промышленности.
Русскоговорящая группа RedCurl впервые была открыта компанией F.A.С.С.T. в конце 2019 года, а активна она как минимум с 2018 года. Злоумышленники не шифровали компании, не похищали деньги со счетов, а занимались исключително кибершпионажем на заказ. Их задача — в ходе тщательно спланированной атаки незаметно добыть ценные сведения: деловую переписку, личные дела сотрудников, юридические документы. С момента заражения до кражи данных обычно проходило от двух до шести месяцев. В атаках RedCurl использовали свои самописные уникальные инструменты.
Цепочка атаки, инструменты, тактики и техники RedCurl впервые были подробно описаны в отчете 2020 года «RedCurl. Пентест, о котором вы не просили», а год спустя — в исследовании «RedCurl. Пробуждение».
По данным компании F.A.С.С.T., RedCurl провела около 40 атак: половина из них — в России, остальные — в Великобритании, Германии, Канаде, Норвегии, на Украине. И как оказалось, злоумышленники не останавливаются на уже «отработанных» регионах, а постоянно расширяют свою географию атак.
В этом блоге автор Артем Грищенко, специалист по анализу вредоносного кода компании F.A.С.С.T., анализирует новые кибератаки RedCurl за пределами России и рассказывает об обновленных инструментах в цепочках заражения и маскировке. Используя эти данные, российские компании могут лучше подготовиться к подобным потенциальным атакам RedCurl. По традиции индикаторы компрометации и обзор тактик, техник и процедур (TTPs) RedCurl на основе матрицы MITRE ATT&CK® приведены в конце блога.