Специалисты F.A.C.C.T. обнаружили новую вредоносную кампанию, осуществляемую группой хакеров RedCurl.
Эта кампания нацелена на организации в Австралии, Сингапуре и Гонконге, затрагивая такие отрасли, как строительство, логистика, авиаперевозки и горнодобывающая промышленность.
RedCurl, активная с 2018 года и впервые обнаруженная в 2019 году, специализируется на кибершпионаже. Хакеры используют уникальные инструменты для кражи деловой переписки, личных данных сотрудников и юридических документов. Для достижения своей цели они тщательно планируют атаки, что приводит к периоду от двух до шести месяцев между первоначальным заражением целевой сети и фактической кражей данных.
Группа RedCurl имеет обширную географию деятельности, совершив 40 успешных атак в России, Великобритании, Германии, Канаде и Норвегии.
В конце 2023 года они продолжили использовать электронные письма с вложенными SVG-файлами или RAR-архивами для первоначального заражения. Эти файлы маскируются под официальные документы от известных компаний, таких как Amazon и Samsung, и включают механизмы, загружающие вредоносный код.
Для закрепления своего присутствия в системе жертвы, RedCurl применяет сложные методы, включая использование запланированных задач в планировщике Windows. На последующих этапах атаки происходит сбор информации о системе и ее отправка на серверы хакеров.
Исследователи также обнаружили примеры успешных атак, в результате которых злоумышленникам удалось эксфильтрировать слепки базы данных Active Directory из австралийских компаний.
Чтобы защититься от атак RedCurl, эксперты рекомендуют компаниям предпринять следующие меры:
* Усилить защиту электронной почты.
* Регулярно отслеживать необычную активность в планировщике задач Windows, обращая внимание на наличие подозрительных запланированных задач.
* Использовать специализированные решения для защиты Active Directory.
* Обучать сотрудников распознавать фишинговые атаки.