Une équipe de hackers hautement qualifiés spécialisés dans l’espionnage d’entreprise a repris ses activités, l’une de leurs victimes cette année étant une grande entreprise de vente en gros en Russie.
Traqué sous le nom de RedCurl, le groupe a attaqué l’entreprise russe à deux reprises cette année, à chaque fois en utilisant des e-mails de spear-phishing soigneusement construits avec des logiciels malveillants au stade initial.
Augmenter le nombre de victimes
Actif depuis 2018, RedCurl est responsable d’au moins 30 attaques contre des entreprises en Russie (dont 18), en Ukraine, au Canada, en Norvège, au Royaume-Uni et en Allemagne, les quatre dernières ayant eu lieu cette année.
Les pirates informatiques sont capables de rester non détectés pendant de longues périodes, entre deux et six mois, avant de voler des données d’entreprise (dossiers du personnel, documents sur les personnes morales, archives judiciaires, fichiers internes, historique des e-mails).
Frapper deux fois la même entreprise
Chercheurs chez entreprise de cybersécurité Groupe-IB remarqué un écart de sept mois dans l’activité de RedCurl, que les pirates ont utilisé pour ajouter des améliorations significatives à leur ensemble d’outils personnalisés et de méthodes d’attaque.
Parmi les dernières victimes du pirate informatique se trouve l’une des plus grandes entreprises de vente en gros de Russie, qui fournit des chaînes de magasins et d’autres grossistes en articles pour la maison, le bureau et les loisirs.
Pour des raisons qui restent inconnues, RedCurl a attaqué cette entreprise à deux reprises, obtenant un premier accès via des e-mails se faisant passer pour le service des ressources humaines de l’entreprise annonçant des primes et le portail des services gouvernementaux.
Dans les deux cas, l’objectif était de déployer sur l’ordinateur de l’employé un logiciel de téléchargement de malware (RedCurl.InitialDropper) caché dans un document joint qui pourrait lancer la prochaine étape de l’attaque.
Au cours de l’enquête, Group-IB a découvert que le RedCurl étendait la chaîne d’attaque à cinq étapes, contre trois ou quatre précédemment observées.
Les pirates ont pris soin de ne pas éveiller les soupçons lorsque le destinataire a ouvert le document malveillant qui a lancé le compte-gouttes initial, ils ont donc inclus un fichier leurre bien conçu avec un contenu lié à l’organisation.
Le compte-gouttes récupèrerait l’outil RedCurl.Downloader, qui collectait des informations sur la machine infectée et les transmettait à un serveur de commande et de contrôle (C2), et initiait également la prochaine étape de l’attaque.
Ensemble d’outils mis à jour
Group-IB a découvert que les pirates utilisaient désormais RedCurl.Extractor, une version modifiée de RedCurl.Dropper qu’ils avaient trouvée lors d’attaques précédentes de cet acteur malveillant.
Le but de cet outil était uniquement de préparer la dernière étape de l’attaque, qui consistait à atteindre la persistance sur le système.
Les chercheurs notent que RedCurl est passé de l’utilisation typique de scripts batch et PowerShell à des fichiers exécutables et que le logiciel antivirus n’a pas réussi à détecter l’infection initiale ou l’attaquant se déplaçant latéralement sur le réseau victime.
Cependant, les améliorations apportées à l’ensemble d’outils de RedCurl semblent avoir été précipitées, car Group-IB a découvert une erreur logique dans l’une des commandes. Une explication est que le groupe a eu peu de temps pour lancer l’attaque et n’a pas pu tester correctement ses outils.
Group-IB a publié un rapport aujourd’hui avec des indicateurs de compromission et des informations techniques sur l’ensemble d’outils mis à jour de RedCurl et leurs fonctionnalités :
- RedCurl.InitialDropper : fichier LNK utilisé dans la phase d’infection initiale, télécharge des scripts par lots ou PowerShell à partir du C2 qui reçoivent des logiciels malveillants pour l’étape suivante
- RedCurl.Downloader (nouvel outil) : téléchargeur d’étape intermédiaire qui collecte des données sur le système infecté, télécharge et déploie des logiciels malveillants pour l’étape suivante
- RedCurl.Extractor : fichier DLL équivalent à RedCurl.Dropper, extrait l’utilitaire légitime 7-Zip, télécharge et installe le logiciel malveillant de l’étape suivante
- RedCurl.FSABIN : équivalent binaire de l’ancien RedCurl.FirstStageAgent, obtient des commandes à partir de serveurs HTTP contrôlés par des pirates
- RedCurl.CHABIN1 : un fork de FSABIN
- RedCurl.CHABIN2 : similaire à CHABIN1, détermine les paramètres du serveur proxy pour connecter le système infecté aux serveurs contrôlés par les pirates
Bien qu’il ne soit pas aussi actif que les autres années, RedCurl maintient sa sophistication et reste un acteur de menace avancé capable de rester non détecté pendant des mois.
Group-IB affirme que sur les quatre attaques identifiées cette année, deux visaient la même cible. Cependant, ils s’attendent à ce que davantage de victimes apparaissent depuis que les outils mis à jour de RedCurl ont été détectés dans la nature avec une fréquence accrue.