Group-IB о новой хакерской группировке
Хакерские атаки бывают сложными и растянутыми по времени. Они мало чем отличаются от настоящих войн: долгая и тщательная разведка, планирование, саботажи, шпионы и молниеносный удар. Или же война на истощение.
Сегодня мы расскажем о группировке RedCurl, которую обнаружили сотрудники компании Group-IB.
Group-IB — одна из ведущих мировых компаний по защите данных, расследованию киберпреступлений и мошенничества. Её услугами пользуются Интерпол, ОБСЕ, а также коммерческие организации, например Сбербанк, МТС, “Аэрофлот” и много других.
В основе нашей статьи их отчет REDCURL. The pentest you didn`t know about. Мы расскажем как действуют современные киберпреступники, а технические подробности и примеры вредоносного кода вы можете самостоятельно посмотреть в отчете по ссылке.
Выявление
Летом 2019 года в Центр круглосуточного реагирования на инциденты кибербезопасности Group-IB (CERT-GIB) позвонил клиент и сообщил об атаке.
Специалисты Центра получили фишинговое письмо с которого началась атака и сделали следующие выводы:
- Качество составления письма было очень высоким. Оно было ориентировано на конкретных сотрудников, а не на компанию целиком.
- Скорей всего речь идёт об атаке, которая долго планировалась.
- Письмо было составлено неизвестной до этого момента хакерской группой.
Для атаки использовали уникальные инструменты, написанные на языке PowerShell.
Windows PowerShell — скриптовый язык Microsoft. Позволяет автоматизировать задачи по управлению серверами и компьютерами на базе Windows. Появился ещё во времена XP. Файлы скриптов Windows PowerShell имеют расширение PS1 и могут запускаться как BAT и CMD файлы.
Целью атаки была кража документов и прочих данных определенного отдела. При этом средства для кражи были максимально незаметными, без активных троянов и средств управления рабочим столом.
Коротко о команде и её способах работы:
Название | RedCurl (присвоено компанией Group-IB) |
Цель |
|
География |
|
Жертвы (направление работы компаний) |
|
Инструменты |
Собственный набор PowerShell-программ:
|
Технические особенности группы |
|
Использованные облачные хранилища |
Для работы с облаками использовался сервис multcloud.com |
Внедрение
Для получения доступа к компьютеру и данным RedCurl используют фишинговые письма. И надо сказать, что они тщательно проработаны — есть логотип и адрес организации, в адресе отправителя правильное доменное имя.
Дальше подключалась социальная инженерия. Хакеры представлялись сотрудниками управления по работе с персоналом и рассылали письма нескольким адресатам. Это снижало бдительность и создавало иллюзию настоящей рассылки.
В самом письме был архив с нужными скриптами, а ссылки на него прятались в тексте письма. Далее работник переходил на точную копию сайта своей компании, хотя на самом деле попадал в одно из облаков. Чаще всего — Dropbox. Также использовались бесплатные хостинги Byethost и AttractSoft.
Для атак 2020 года использовалось сочетание LNK и XLAM-файлов.
XLAM — файлы надстроек Excel 2010 и Excel 2007 на основе XML с поддержкой макросов.
Дальше облако монтировалось в систему как сетевой диск и запускался RedCurl.Dropper, а жертва видела на экране после чего фишинговый документ.
Заметно, что команда меняли подходы. В 2018 году из SFX-архива извлекалась утилита NirCmd, использовались MHT-файлы (по сути полные копии локальные копии сайтов). Далее пользователю предлагалось разрешить работу с элементами ActiveX.
В 2019 RedCurl использовали другой метод. Жертва загружала архив с exe-файлом, который был самораспаковывающимся архивом (SFX). Но почему пользователь запускал неизвестный архив? Всё просто: вредоносный файл маскировался под документ в формате PDF или Word. Поскольку расширения файлов по умолчанию скрыты для большей части пользователей, то принять опасный файл за обычный очень просто.
Процесс
Хакеры использовали нативный для системы PowerShell и публичные облачные хранилища. Это снижает количество обнаружений их инструментов. Антивирусы обнаруживали вредоносные программы только спустя несколько месяцев.
Сам код программ был сильно запутан. С помощью PowerShell скриптов злоумышленники собирали данные о локальных и сетевых дисках, учетных записях электронной почты.
Для удалённого доступа используется SSH.
Продвижение по сети и заражение систем шло через модифицированные ярлыки (файл с расширение LNK). Они фактически подменял *.jpg, *.pdf, *.doc, *.docx, *.xls, *.xlsx, файлы на сетевых дисках. Оригинальные файлы получали атрибут “скрытый”.
Пользователь заходит на сетевой диск, чтобы скачать, например, отчет, а на деле инициирует запуск RedCurl.Dropper, который также копируется в каталог с файлами на сетевом диске. Это медленный способ, но относительно безопасный.
Его дополнял сценарий PowerShell, который показывал всплывающее фишинговое окно Microsoft Outlook. Все введенные данные сохранялись в текстовом файле и проверялись на валидность. Таким образом за сбор данных отвечало сразу два инструмента.
В этом случае велик риск кражи данных для компаний, которые не используют мультифакторную аутентификацию.
Особое внимание было уделено компрометации электронной почты. Делалось это также с помощью PowerShell.
Злоумышленники искали данные на всех доступных локальных и корпоративных хранилищах. Они забирали, что было возможно:
- Личные дела сотрудников
- Документацию по строительству объектов
- Информацию по судебным делам
- Любые внутренние документы
Скорей всего атаки были заказаны конкурентами, поскольку хакеров в меньшей степени интересовала кража денег.
Рекомендации
Данные рекомендации составлены с учётом особенностей атак RedCurl.
- Проводите анализ фишинговых электронных писем.
- Проводите мониторинг приложений (включая аргументы командной строки), которые часто используются атакующими для первичной компрометации (Microsoft Office, Acrobat Reader, архиваторы и т.п.).
- Ограничьте возможность исполнения PowerShell там, где в этом нет необходимости. Проверяйте исполняемые скрипты, уделяйте внимание процессам powershell.exe с длинными закодированными в base64 строками в аргументах.
- Проверяйте мониторинг аргументов, с которыми запускается rundll32.exe.
- Мониторьте и проверяйте легитимности создаваемых в планировщике задач.
- Блокируйте доступ к облачным хранилищам, если в них нет необходимости.
- Проводите поиск LNK-файлов, которые указывают на документы или изображения, но при этом имеющих в пути к файлу rundll32.exe или powershell.exe.
Мы всегда готовы провести аудит безопасности в вашей компании и внедрить необходимые инструменты. Свяжитесь с нами и сделайте работу ваших сотрудников, в том числе удаленных безопасной для компании.