Group-IB выявила занимающуюся корпоративным шпионажем группу хакеров
Москва. 13 августа. INTERFAX.RU - Специализирующаяся на предотвращении кибератак компания Group-IB выявила ранее неизвестную хакерскую группировку, которая занимается корпоративным шпионажем.
По данным опубликованного в четверг аналитического отчета компании, группа RedCurl активна как минимум с 2018 года и предположительно состоит из русскоговорящих хакеров. Она проводит целевые атаки на частные компании для получения конфиденциальных документов, содержащих коммерческую тайну и персональные данные сотрудников (контракты, финансовая документация, личные дела сотрудников, документы по судебным делам, строительству объектов и др.).
Это может свидетельствовать о заказном характере атак с целью недобросовестной конкуренции, предупреждают в Group-IB.
Всего группа совершила 26 атак на компании из таких секторов, как строительство, финансы, ритейл, банки, страхование, туризм и др. Мишенями хакеров стали коммерческие организации в России, Великобритании, Германии, Канаде, Норвегии и на Украине. Жертвами хакеров оказались 14 организаций. При этом в России было атаковано как минимум 10 компаний, пояснили "Интерфаксу" в пресс-службе Group-IB.
Как действует RedCurl
Подход RedCurl напоминает действия ИБ-компаний, оказывающих услуги по организации тестов на проникновение, проверки защищенности компаний от сложных кибератак, в которых используются, в числе прочего, методы социальной инженерии.
Хакерская группа направляет фишинговые письма, которые составляются под конкретную команду сотрудников компании. Чаще всего рассылка осуществлялась якобы от HR-департамента сразу нескольким сотрудникам одного отдела - чтобы снизить их бдительность. Письма содержали подпись, логотип, поддельное доменное имя компании, а также тщательно замаскированные ссылки, которые запускают в локальной сети организации троян, контролирующийся хакерами через "облако".
Далее злоумышленники просматривают список папок и документов, доступных с зараженной машины, после выгружают интересующие их документы. Все найденные на сетевых дисках ярлыки к файлам с расширениями jpg, pdf, doc, docx, xls, xlsx подменяются на вредоноcные, при открытии которых другие пользователи также запускают на своих компьютерах троян.
Также злоумышленники пытаются получить учетные данные от электронной почты с помощью инструмента, который извлекает пароли из памяти и файлов, сохраненных в веб-браузере жертвы. После этого хакеры анализируют и проводят выгрузку всех интересующих их документов в облачные хранилища.
После получения первоначального доступа хакеры находятся в сети жертвы 2-6 месяцев. При этом все взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища.