Group-IB о новой хакерской группировке

Хакерские атаки бывают сложными и растянутыми по времени. Они мало чем отличаются от настоящих войн: долгая и тщательная разведка, планирование, саботажи, шпионы и молниеносный удар. Или же война на истощение.

Сегодня мы расскажем о группировке RedCurl, которую обнаружили сотрудники компании Group-IB.

Group-IB — одна из ведущих мировых компаний по защите данных, расследованию киберпреступлений и мошенничества. Её услугами пользуются Интерпол, ОБСЕ, а также коммерческие организации, например Сбербанк, МТС, “Аэрофлот” и много других.

В основе нашей статьи их отчет REDCURL. The pentest you didn`t know about. Мы расскажем как действуют современные киберпреступники, а технические подробности и примеры вредоносного кода вы можете самостоятельно посмотреть в отчете по ссылке.

Выявление

Летом 2019 года в Центр круглосуточного реагирования на инциденты кибербезопасности Group-IB (CERT-GIB) позвонил клиент и сообщил об атаке.

Специалисты Центра получили фишинговое письмо с которого началась атака и сделали следующие выводы:

1. Качество составления письма было очень высоким. Оно было ориентировано на конкретных сотрудников, а не на компанию целиком.
2. Скорей всего речь идёт об атаке, которая долго планировалась.
3. Письмо было составлено неизвестной до этого момента хакерской группой.

Для атаки использовали уникальные инструменты, написанные на языке PowerShell.

Целью атаки была кража документов и прочих данных определенного отдела. При этом средства для кражи были максимально незаметными, без активных троянов и средств управления рабочим столом.

Коротко о команде и её способах работы:

Внедрение

Для получения доступа к компьютеру и данным RedCurl используют фишинговые письма. И надо сказать, что они тщательно проработаны — есть логотип и адрес организации, в адресе отправителя правильное доменное имя.

Дальше подключалась социальная инженерия. Хакеры представлялись сотрудниками управления по работе с персоналом и рассылали письма нескольким адресатам. Это снижало бдительность и создавало иллюзию настоящей рассылки.

В самом письме был архив с нужными скриптами, а ссылки на него прятались в тексте письма. Далее работник переходил на точную копию сайта своей компании, хотя на самом деле попадал в одно из облаков. Чаще всего — Dropbox. Также использовались бесплатные хостинги Byethost и AttractSoft.

Для атак 2020 года использовалось сочетание LNK и XLAM-файлов.

Дальше облако монтировалось в систему как сетевой диск и запускался RedCurl.Dropper, а жертва видела на экране после чего фишинговый документ.

Заметно, что команда меняли подходы. В 2018 году из SFX-архива извлекалась утилита NirCmd, использовались MHT-файлы (по сути полные копии локальные копии сайтов). Далее пользователю предлагалось разрешить работу с элементами ActiveX.

В 2019 RedCurl использовали другой метод. Жертва загружала архив с exe-файлом, который был самораспаковывающимся архивом (SFX). Но почему пользователь запускал неизвестный архив? Всё просто: вредоносный файл маскировался под документ в формате PDF или Word. Поскольку расширения файлов по умолчанию скрыты для большей части пользователей, то принять опасный файл за обычный очень просто.

Процесс

Хакеры использовали нативный для системы PowerShell и публичные облачные хранилища. Это снижает количество обнаружений их инструментов. Антивирусы обнаруживали вредоносные программы только спустя несколько месяцев.

Сам код программ был сильно запутан. С помощью PowerShell скриптов злоумышленники собирали данные о локальных и сетевых дисках, учетных записях электронной почты.

Для удалённого доступа используется SSH.

Продвижение по сети и заражение систем шло через модифицированные ярлыки (файл с расширение LNK). Они фактически подменял *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx, файлы на сетевых дисках. Оригинальные файлы получали атрибут “скрытый”.

Пользователь заходит на сетевой диск, чтобы скачать, например, отчет, а на деле инициирует запуск RedCurl.Dropper, который также копируется в каталог с файлами на сетевом диске. Это медленный способ, но относительно безопасный.

Его дополнял сценарий PowerShell, который показывал всплывающее фишинговое окно Microsoft Outlook. Все введенные данные сохранялись в текстовом файле и проверялись на валидность. Таким образом за сбор данных отвечало сразу два инструмента.

В этом случае велик риск кражи данных для компаний, которые не используют мультифакторную аутентификацию.

Особое внимание было уделено компрометации электронной почты. Делалось это также с помощью PowerShell.

Злоумышленники искали данные на всех доступных локальных и корпоративных хранилищах. Они забирали, что было возможно:

• Личные дела сотрудников
• Документацию по строительству объектов
• Информацию по судебным делам
• Любые внутренние документы

Скорей всего атаки были заказаны конкурентами, поскольку хакеров в меньшей степени интересовала кража денег.

Рекомендации

Данные рекомендации составлены с учётом особенностей атак RedCurl.

1. Проводите анализ фишинговых электронных писем.
2. Проводите мониторинг приложений (включая аргументы командной строки), которые часто используются атакующими для первичной компрометации (Microsoft Office, Acrobat Reader, архиваторы и т.п.).
3. Ограничьте возможность исполнения PowerShell там, где в этом нет необходимости. Проверяйте исполняемые скрипты, уделяйте внимание процессам powershell.exe с длинными закодированными в base64 строками в аргументах.
4. Проверяйте мониторинг аргументов, с которыми запускается rundll32.exe.
5. Мониторьте и проверяйте легитимности создаваемых в планировщике задач.
6. Блокируйте доступ к облачным хранилищам, если в них нет необходимости.
7. Проводите поиск LNK-файлов, которые указывают на документы или изображения, но при этом имеющих в пути к файлу rundll32.exe или powershell.exe.

Мы всегда готовы провести аудит безопасности в вашей компании и внедрить необходимые инструменты. Свяжитесь с нами и сделайте работу ваших сотрудников, в том числе удаленных безопасной для компании.