Политика безопасности

ИТ в банках

FAC.CT, российский разработчик технологий для борьбы с киберпреступностью, обнаружил новые атаки хакерской группы RedCurl, специализирующейся на коммерческом шпионаже и краже корпоративных документов. На этот раз одной из жертв русскоязычных хакеров стал крупный российский банк. Киберпреступники атаковали его дважды: сначала напрямую, используя целевые фишинговые рассылки от имени крупного российского рынка, а затем через аутсорсинговую компанию.

Ранее неизвестная группа РедКёрл была утечка FAC.CT (ex-Group-IB) в конце 2019 года. Группа, якобы состоящая из русскоязычных хакеров, привлекла внимание экспертов тем, что осуществила тщательно спланированные атаки на частные компании в различных секторах с использованием уникальных инструменты. По данным FAC.CT, группа действует как минимум с 2018 года.

Цепочка атак, инструменты, тактика и приемы RedCurl впервые были подробно описаны в отчете 2020 года «RedCurl. Пентест, о котором вы не просили», а год спустя — в исследовании «RedCurl. Пробуждение».

По данным FACCT, за четыре с половиной года RedCurl атаковал 34 цели: 20 из них в Россияостальные в Британия, Германия, Канада, Норвегия, Австралия и дальше Украина. Жертвами стали строительные компании, финансовые фирмы, консалтинговые фирмы, розничные торговцы, банки, страховые и юридические организации. С момента заражения до кражи данных RedCurl проводит жертв в сети от 2 до 6 месяцев.

Новое исследование FAC.CT раскрывает атаки RedCurl в ноябре 2022 года и мае 2023 года. В обеих кампаниях фишинговые электронные письма, содержащие вредоносное ПО, были первоначальным вектором проникновения в инфраструктуру организации. На этот раз в своих сообщениях-приманках злоумышленники использовали брендинг популярного рынка — получателям писем и их семьям была обещана корпоративная скидка 25% на всю продукцию.

ЧИТАТЬ   Исходный код ОС «Альт» для платформы RISC-V появится в национальном репозитории

Целью ноябрьской атаки оказался крупный российский банк из списка системообразующих кредитных организаций. Группа киберпреступников совершила вредоносную рассылку, но вредоносные электронные письма были обнаружены, заблокированы и не дошли до получателей благодаря автоматизированному решению для защиты электронной почты FACCT Business Email Protection, которое было установлено в инфраструктуре компании «Финансовое учреждение.

После неудачи хакеры RedCurl переключились на банковского подрядчика, используя тактику Цепочка поставок (атака на поставщика). Получив доступ к компьютеру сотрудника подрядной организации, предположительно посредством фишинговой кампании, злоумышленники смогли взломать общий сетевой диск с документами клиента, что позволило получить доступ к инфраструктуре финансовой организации.

Во время реагирования на инциденты в ноябре 2022 года и мае этого года эксперты лаборатории цифровой криминалистики FACCT собрали и изучили образцы вредоносных программ, используемых хакерами RedCurl.

В качестве загрузчика для первой стадии заражения группа использовала RedCurl.SimpleDownloader, специально созданный для новой кампании под брендом Marketplace. По словам экспертов FACCT, это новый, полноценный инструмент кластеризации, который будет модифицирован и использован в других атаках RedCurl. На следующем этапе кампании для загрузки RedCurl.Extractor использовался обновленный RedCurl.Downloader. Эта программа предназначена для установки агента RedCurl.FSABIN, который, в свою очередь, дает злоумышленнику возможность удаленного управления зараженной машиной.

«С момента открытия RedCurl в 2019 году наши эксперты Аналитика угроз отслеживать все изменения в своей групповой тактике и инструментах», — заявил генеральный директор FAC.CT. Валерий Баулин. «Такие группы, как RedCurl, безусловно, представляют угрозу для российских компаний, у которых нет решений для предотвращения изощренных атак на ранней стадии. Также, судя по ноябрьской атаке на банк, наше автоматизированное решение для защиты электронной почты сработало успешно, но злоумышленники нашли слабое звено в виде вендора — такой вектор атаки тоже нужно учитывать.

ЧИТАТЬ   Группа «Восток» уничтожила пехотные группы ВСУ, пытавшиеся атаковать

Следуя миссии по борьбе с киберпреступностью, специалисты FACCT публикуют в исследовании описание цепочки заражения (KillChain) группы RedCurl, индикаторы компрометации и рекомендации по защите в соответствии с матрицей MITRE ATT&CK.

Source

От admin