RedCurl APT Group hackea empresas globales para …



Los investigadores analizan un grupo APT presuntamente de habla rusa que ha estado robando datos corporativos desde 2018.

RedCurl es su nombre. El espionaje corporativo es su juego.

Investigadores de seguridad publicaron hoy hallazgos sobre un nuevo grupo de APT que afirman que ha estado robando datos de organizaciones de todo el mundo desde 2018. Desde entonces, RedCurl ha apuntado al menos a 14 empresas privadas en 26 ataques diseñados para robar documentos que contienen secretos comerciales y empleados. &#39 informacion personal.

Sus objetivos abarcan una variedad de industrias y ubicaciones. El grupo se ha centrado en organizaciones de construcción, finanzas, consultoría, comercio minorista, banca, seguros, derecho y viajes sus víctimas se encuentran en Rusia, Ucrania, Reino Unido, Alemania, Canadá y Noruega, informan los investigadores.

Group-IB, una empresa de seguridad con sede en Rusia y Singapur, dice que el grupo probablemente habla ruso y lanzó su primer ataque conocido en mayo de 2018. La compañía se dio cuenta de la amenaza en el verano de 2019 cuando su Equipo de Respuesta a Emergencias Informáticas recibió una llamada de un cliente que dijo que la empresa había sido atacada. Los esfuerzos para mitigar el incidente revelaron correos electrónicos de phishing especialmente bien escritos que indicaban un ataque planificado y dirigido.

Los especialistas en inteligencia de amenazas se interesaron y encontraron computadoras infectadas con RedCurl en departamentos específicos dentro de las organizaciones y solo tomaron documentos específicos. Los atacantes realizaron inteligencia en profundidad en la infraestructura de los objetivos: la mayoría de las veces, se hicieron pasar por personalized de recursos humanos y enviaron correos electrónicos a varios empleados de la misma división para que parezcan menos sospechosos.

«Tienen información sobre quién abrirá sus correos electrónicos», dice Rustam Mirkasymov, jefe del equipo de análisis dinámico de malware de Group-IB. «Saben qué tipos trabajan en qué departamento y atacan a todo el departamento, así que si alguien les pregunta a sus colegas si han recibido correos electrónicos de este tipo, sus colegas habrán recibido lo mismo. Es una muy buena preparación».

El contenido se redactó cuidadosamente. Por ejemplo, los correos electrónicos mostraban la dirección y el logotipo de la empresa de destino, mientras que la dirección del remitente contenía el nombre de dominio de la empresa. Team-IB destaca cómo el enfoque se asemeja a los ataques de ingeniería social que usan los equipos rojos para probar organizaciones.

Para entregar la carga útil, los atacantes colocaron enlaces en el cuerpo del correo electrónico para conectarse con servicios legítimos de almacenamiento en la nube, explican los investigadores en un extenso reporte sobre la amenaza. Los enlaces se disfrazaron para que los empleados no reconocieran la implementación de un descargador de troyanos Redcurl.Dropper, que les dio a los atacantes un punto de apoyo en el sistema y la capacidad de instalar y ejecutar otros módulos de malware. Al igual que otras herramientas personalizadas de RedCurl, el cuentagotas se escribió en PowerShell.

Mirkasymov señala que el uso de servicios en la nube ayuda a RedCurl a pasar desapercibido para las víctimas. No persiguen el movimiento lateral ni utilizan troyanos activos o conexiones RDP. Simplemente envían un enlace y esperan a que las víctimas hagan clic. RedCurl.Dropper establece conexiones con servicios de almacenamiento en la nube como Cloudme, koofr.internet, pcloud.com y otros.

«Por eso no es fácil detectar su actividad», dice. «Son realmente lentos y silenciosos».

Espionaje corporativo: una nueva amenaza a vigilar
La actividad de RedCurl varía según su objetivo. Los ataques de spear-phishing se envían a diferentes niveles según el negocio: en un ataque a una empresa alemana, se dirigieron al particular de alto nivel en otros, contra empresas de Rusia y Canadá, se apuntó a empleados de nivel medio.

Del mismo modo, los datos robados variaron de una empresa a otra. RedCurl ha tomado contratos, documentos financieros, registros personales de empleados y registros de acciones legales y construcción de instalaciones. Mirkasymov señala que RedCurl ha tomado casos de investigación de firmas legales y consultoras, y perfiles de empleados que contienen resultados de pruebas de polígrafo de minoristas.

Cuando los investigadores hurgaron en los foros clandestinos, no encontraron ningún rastro de estos documentos, por lo que no parece que RedCurl haya intentado venderlos. Mirkasymov especula que alguien contrató a los atacantes para robar la información. El enfoque en el espionaje corporativo está respaldado por el rango geográfico y de la industria de las víctimas de RedCurl.

No hay indicios de quién podría haber contratado a RedCurl, dónde podrían estar ubicados o quién está detrás de estos ataques, agrega. El grupo es bastante nuevo y los investigadores esperan aprender más con el tiempo.

«El espionaje corporativo no es algo a lo que estemos acostumbrados en la ciberescena», dice Mirkasymov. Los investigadores creen que la frecuencia de estos ataques indica que es possible que se generalice más en el futuro.

También notaron que los atacantes buscan credenciales de correo electrónico: RedCurl united states la herramienta LaZagne, que extrae contraseñas de la memoria y archivos guardados en el navegador. Si esto no funciona, utiliza un script de PowerShell que muestra una ventana de Outlook para capturar la dirección de correo electrónico de la víctima. Luego, pueden usar otro script para cargar documentos en el almacenamiento en la nube controlado por el atacante.

Contenido relacionado:

Kelly Sheridan es la editora de particular de Darkish Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic