Киберпреступная группировка RedCurl нанесла двойной удар по одному из российских банков

Киберпреступники из группировки RedCurl, как сообщила компания F.A.С.С.T., атаковали один из российских банков дважды: сначала напрямую с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем — через подрядчика.

Группа RedCurl была раскрыта компанией F.A.С.С.T. (экс-Group-IB) в конце 2019 года. Группа, предположительно, состоящая из русскоговорящих хакеров, привлекла внимание экспертов тем, что проводила тщательно спланированные атаки на частные компании из различных отраслей, используя уникальный инструментарий. По данным компании F.A.С.С.T., группа активна, как минимум, с 2018 года.

По данным F.A.C.C.T., за четыре с половиной года RedCurl атаковала 34 цели: 20 из них — в России, остальные — в Великобритании, Германии, Канаде, Норвегии, Австралии и на Украине. Среди жертв были строительные, финансовые, консалтинговые компании, ритейлеры, банки, страховые, юридические организации. С момента заражения до кражи данных RedCurl проводит в сети жертвы от 2 до 6 месяцев.

Новое исследование F.A.С.С.T. раскрывает атаки RedCurl в ноябре 2022 и в мае 2023 года. В обеих кампаниях первоначальным вектором проникновения в инфраструктуру организации стали рассылки фишинговых писем с вредоносным программным обеспечением. На этот раз в своих сообщениях-приманках злоумышленники использовали бренд популярного маркетплейса — получателям письма и членам их семей обещали корпоративную скидку 25% на все товары.

Целью ноябрьской атаки оказался крупный российский банк из перечня системно значимых кредитных организаций. Киберпреступная группа сделала вредоносную рассылку, но вредоносные письма были обнаружены, заблокированы и не попали к адресатам благодаря решению для автоматизированной защиты электронной почты F.A.C.C.T. Business Email Protection, которое было установлено в инфраструктуре финансовой организации.

После неудачи хакеры из RedCurl переключились на подрядчика банка, использовав тактику Supply Chain (атака на поставщика). Получив доступ к компьютеру сотрудника организации-подрядчика, предположительно, через фишинговую рассылку, киберпреступники смогли проникнуть на общий сетевой диск с документами клиента, что позволило попасть в инфраструктуру финансовой организации.

В ходе реагирований на инциденты в ноябре 2022 и мае этого года эксперты Лаборатории цифровой криминалистики компании F.A.C.C.T. собрали и изучили семплы вредоносных программ, которые использовали хакеры RedCurl.

В качестве программы-загрузчика для первого этапа заражения группировка использовала RedCurl.SimpleDownloader, специально созданный под новую кампанию с использованием бренда маркетплейса. По мнению экспертов F.A.C.C.T., это новый полноценный инструмент группировки, который будет модифицироваться и применяться в других атаках RedCurl. На следующем этапе кампании использовался модернизированный загрузчик RedCurl.Downloader для подгрузки RedCurl.Extractor. Это программа предназначена для установки агента RedCurl.FSABIN, который в свою очередь предоставляет злоумышленнику удаленный контроль над зараженной машиной.

"После обнаружения RedCurl в 2019 году наши специалисты Threat Intelligence отслеживают все изменения в их тактике и инструментах группы, — подчеркнул генеральный директор компании F.A.С.С.T. Валерий Баулин. — Такие группы, как RedCurl, безусловно, представляет угрозу для российских компаний, которые не обладают решениями для раннего предотвращения сложных атак. Тем более, что, судя по ноябрьской атаке на банк, наше решение по автоматизированной защите электронной почты отработало успешно, но атакующие нашли слабое звено в виде поставщика — этот вектор атаки необходимо также учитывать".