icon__time_white.png Часы работы: пн.-пт. с 9:00 до 18:00
icon__mes_white.png sales@gst-samara.ru Оставить заявку

Group-IB о новой хакерской группировке

Хакерские атаки бывают сложными и растянутыми по времени. Они мало чем отличаются от настоящих войн: долгая и тщательная разведка, планирование, саботажи, шпионы и молниеносный удар. Или же война на истощение.

Сегодня мы расскажем о группировке RedCurl, которую обнаружили сотрудники компании Group-IB.

Group-IB — одна из ведущих мировых компаний по защите данных, расследованию киберпреступлений и мошенничества. Её услугами пользуются Интерпол, ОБСЕ, а также коммерческие организации, например Сбербанк, МТС, “Аэрофлот” и много других.

В основе нашей статьи их отчет REDCURL. The pentest you didn`t know about. Мы расскажем как действуют современные киберпреступники, а технические подробности и примеры вредоносного кода вы можете самостоятельно посмотреть в отчете по ссылке.

Выявление

Летом 2019 года в Центр круглосуточного реагирования на инциденты кибербезопасности Group-IB (CERT-GIB) позвонил клиент и сообщил об атаке.

Специалисты Центра получили фишинговое письмо с которого началась атака и сделали следующие выводы:

  1. Качество составления письма было очень высоким. Оно было ориентировано на конкретных сотрудников, а не на компанию целиком.
  2. Скорей всего речь идёт об атаке, которая долго планировалась.
  3. Письмо было составлено неизвестной до этого момента хакерской группой.

Для атаки использовали уникальные инструменты, написанные на языке PowerShell.

Windows PowerShell — скриптовый язык Microsoft. Позволяет автоматизировать задачи по управлению серверами и компьютерами на базе Windows. Появился ещё во времена XP. Файлы скриптов Windows PowerShell имеют расширение PS1 и могут запускаться как BAT и CMD файлы.


Целью атаки была кража документов и прочих данных определенного отдела. При этом средства для кражи были максимально незаметными, без активных троянов и средств управления рабочим столом.

computer-1591018_1920.jpg

Коротко о команде и её способах работы:

Название RedCurl (присвоено компанией Group-IB)
Цель
  • Корпоративный шпионаж и кража документации
  • Одной из основных целей была электронная почта и офисные документы
География
  • Россия
  • Украина
  • Канада
  • Германия
  • Великобритания
  • Норвегия
Жертвы (направление работы компаний)
  • Строительство
  • Финансы и консалтинг
  • Ритейл
  • Банки
  • Страховщики
  • Юридические услуги
  • Туризм
Инструменты Собственный набор PowerShell-программ:
  • Dropper (в том числе первичный дроппер InitialDropper)
  • Основной модуль FirstStageAgent
  • Два подмодуля, носящих имена Channel1 aka FSA.C1 и Channel2 aka FSA.C2
Технические особенности группы
  • Минимальное использование бинарного кода
  • Использование техник сокрытия в целях затруднения детектирования
  • Управление зараженным компьютером через команды в облачном хранилище
  • Команды отдавались как PowerShell-скрипты
  • Набор скриптов для создания поддельных окон Outlook, сбора логинов и паролей нужных людей
  • Пребывание в сети жертвы в течение 2-6 месяцев.
Использованные облачные хранилища
  • сloudme.com
  • koofr.net
  • pcloud.com
  • idata.uz
  • drivehq.com
  • driveonweb.de
  • opendrive.com
  • powerfolder.com
  • docs.live.net
  • syncwerk.cloud
  • cloud.woelkli.com
  • framagenda.org.

Для работы с облаками использовался сервис multcloud.com

Внедрение

Для получения доступа к компьютеру и данным RedCurl используют фишинговые письма. И надо сказать, что они тщательно проработаны — есть логотип и адрес организации, в адресе отправителя правильное доменное имя.

Дальше подключалась социальная инженерия. Хакеры представлялись сотрудниками управления по работе с персоналом и рассылали письма нескольким адресатам. Это снижало бдительность и создавало иллюзию настоящей рассылки.

В самом письме был архив с нужными скриптами, а ссылки на него прятались в тексте письма. Далее работник переходил на точную копию сайта своей компании, хотя на самом деле попадал в одно из облаков. Чаще всего — Dropbox. Также использовались бесплатные хостинги Byethost и AttractSoft.

Для атак 2020 года использовалось сочетание LNK и XLAM-файлов.

XLAM — файлы надстроек Excel 2010 и Excel 2007 на основе XML с поддержкой макросов.

Дальше облако монтировалось в систему как сетевой диск и запускался RedCurl.Dropper, а жертва видела на экране после чего фишинговый документ.

monitor-1307227_1920.jpg

Заметно, что команда меняли подходы. В 2018 году из SFX-архива извлекалась утилита NirCmd, использовались MHT-файлы (по сути полные копии локальные копии сайтов). Далее пользователю предлагалось разрешить работу с элементами ActiveX.

В 2019 RedCurl использовали другой метод. Жертва загружала архив с exe-файлом, который был самораспаковывающимся архивом (SFX). Но почему пользователь запускал неизвестный архив? Всё просто: вредоносный файл маскировался под документ в формате PDF или Word. Поскольку расширения файлов по умолчанию скрыты для большей части пользователей, то принять опасный файл за обычный очень просто.

Процесс

Хакеры использовали нативный для системы PowerShell и публичные облачные хранилища. Это снижает количество обнаружений их инструментов. Антивирусы обнаруживали вредоносные программы только спустя несколько месяцев.

Сам код программ был сильно запутан. С помощью PowerShell скриптов злоумышленники собирали данные о локальных и сетевых дисках, учетных записях электронной почты.

Для удалённого доступа используется SSH.

Продвижение по сети и заражение систем шло через модифицированные ярлыки (файл с расширение LNK). Они фактически подменял *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx, файлы на сетевых дисках. Оригинальные файлы получали атрибут “скрытый”.

Пользователь заходит на сетевой диск, чтобы скачать, например, отчет, а на деле инициирует запуск RedCurl.Dropper, который также копируется в каталог с файлами на сетевом диске. Это медленный способ, но относительно безопасный.

Его дополнял сценарий PowerShell, который показывал всплывающее фишинговое окно Microsoft Outlook. Все введенные данные сохранялись в текстовом файле и проверялись на валидность. Таким образом за сбор данных отвечало сразу два инструмента.

В этом случае велик риск кражи данных для компаний, которые не используют мультифакторную аутентификацию.

security-5199236_1920.jpg

Особое внимание было уделено компрометации электронной почты. Делалось это также с помощью PowerShell.

Злоумышленники искали данные на всех доступных локальных и корпоративных хранилищах. Они забирали, что было возможно:

  • Личные дела сотрудников
  • Документацию по строительству объектов
  • Информацию по судебным делам
  • Любые внутренние документы

Скорей всего атаки были заказаны конкурентами, поскольку хакеров в меньшей степени интересовала кража денег.

Рекомендации

Данные рекомендации составлены с учётом особенностей атак RedCurl.

  1. Проводите анализ фишинговых электронных писем.
  2. Проводите мониторинг приложений (включая аргументы командной строки), которые часто используются атакующими для первичной компрометации (Microsoft Office, Acrobat Reader, архиваторы и т.п.).
  3. Ограничьте возможность исполнения PowerShell там, где в этом нет необходимости. Проверяйте исполняемые скрипты, уделяйте внимание процессам powershell.exe с длинными закодированными в base64 строками в аргументах.
  4. Проверяйте мониторинг аргументов, с которыми запускается rundll32.exe.
  5. Мониторьте и проверяйте легитимности создаваемых в планировщике задач.
  6. Блокируйте доступ к облачным хранилищам, если в них нет необходимости.
  7. Проводите поиск LNK-файлов, которые указывают на документы или изображения, но при этом имеющих в пути к файлу rundll32.exe или powershell.exe.

Мы всегда готовы провести аудит безопасности в вашей компании и внедрить необходимые инструменты. Свяжитесь с нами и сделайте работу ваших сотрудников, в том числе удаленных безопасной для компании.

Ответим на ваши вопросы в течение одного дня!
sales@gst-samara.ru
Время работы: с 9 до 18
С понедельника по пятницу
Оставить заявку