Hackers de espionagem corporativa da RedCurl retornam com ferramentas de hacking atualizadas

[Zack Martins 18.918]

Por Ravie Lakshmanan

 

 

Um grupo corporativo de hackers de espionagem cibernética ressurgiu após um hiato de sete meses com novas invasões direcionadas a quatro empresas este ano, incluindo uma das maiores lojas de atacado da Rússia, ao mesmo tempo em que fazia melhorias táticas em seu conjunto de ferramentas em uma tentativa de impedir a análise.

 

"Em cada ataque, o agente da ameaça demonstra extensas habilidades de red teaming e a capacidade de contornar a detecção antivírus tradicional usando seu próprio malware personalizado", Ivan Pisarev do Group-IB disse.

 

Ativo desde pelo menos novembro de 2018, o língua grupo de hackers RedCurl de russa foi vinculado a 30 ataques até o momento com o objetivo de espionagem cibernética corporativa e roubo de documentos destinados a 14 organizações que abrangem os setores de construção, finanças, consultoria, varejo, seguros e jurídico e localizados no Reino Unido, Alemanha, Canadá, Noruega, Rússia e Ucrânia.

 

 

O ator da ameaça usa uma série de ferramentas de hacking estabelecidas para se infiltrar em seus alvos e roubar documentação corporativa interna, como registros de funcionários, arquivos judiciais e legais e histórico de e-mail corporativo, com o gasto coletivo em qualquer lugar de dois a seis meses entre a infecção inicial para o dados de tempo são realmente roubados.

 

O modus operandi do RedCurl marca um afastamento de outros adversários, até porque ele não implanta backdoors nem depende de ferramentas de pós-exploração como CobaltStrike e Meterpreter, ambos vistos como métodos típicos para controlar remotamente dispositivos comprometidos. Além do mais, apesar de manter o acesso consolidado, o grupo não foi observado conduzindo ataques motivados por ganhos financeiros e envolvendo criptografar a infraestrutura da vítima ou exigir resgates por dados roubados.

 

Em vez disso, a ênfase parece ser obter informações valiosas o mais secretamente possível, usando uma combinação de programas autodesenvolvidos e disponíveis publicamente para obter acesso inicial usando meios de engenharia social, realizar reconhecimento, obter persistência, mover lateralmente e exfiltrar documentação sensível.

 

 

"A espionagem no ciberespaço é uma marca registrada das ameaças persistentes avançadas patrocinadas pelo estado", disseram os pesquisadores. “Na maioria dos casos, esses ataques têm como alvo outros estados ou empresas estatais. A espionagem cibernética corporativa ainda é uma ocorrência relativamente rara e, em muitos aspectos, única. No entanto, é possível que o sucesso do grupo possa levar a uma nova tendência no crime cibernético . "

 

Fonte

É necessário se cadastrar para acessar o conteúdo.

• Entre
• ou
• Cadastre-se

Editado 1 de Dezembro 2021 por Zack Martins