­­­­

«ЕЙ-БІ-СІ ГРУП» ТОВ

“A-B-C GROUP” LLS
  • +38 (050) 550-65-83
  • ТОВ ЕЙ-БІ-СІ ГРУП"Українам Київвул Вишгородська34/1 - 5604114
Назад к списку

Кратко об ободной из групп «черных» хакеров

23.09.2020г 

RedCurl - Группа хакеров кибершпионажа

Активна с 2018 г. по настоящее время 

Цель группывести корпоративный шпионаж:украсть документы, содержащиекоммерчески конфиденциальная информацияи личные данные сотрудниковГруппа действует максимально скрытно.Для того, чтобы свести к минимуму риск быть обнаруженным в сети жертвы: RedCurl не использует активно общающиеся трояны или инструменты удаленного администрированияВ каждой анализируемой кампании цель группы заключалась в шпионаже.Злоумышленники заразили компьютеры в целевых отделах внутри организаций и похитили конкретные документы. 

 Одной из возможных жертв группы был сотрудник компании по кибербезопасности который защищает своих клиентов от таких атак. 

 За более чем два года обнаружено 26 целевых атак 

География Россия, Украина, Канада, Германия, Великобритания, НорвегияЖертвы Строительные компании, финансовые и консалтинговые компании,розничные торговцы, банки, страховые компании, юридические фирмы, туристические агентства 

Язык Группа предположительно русскоязычная

Инструменты RedCurl создали набор программ PowerShell, которые могут кумулятивно называться фреймворком, который включает: ∙ Капельницы (включая начальную капельницу InitialDropper) ∙ Ключевой модуль FirstStageAgent (также известный как FSA) ∙ Два субмодуля под названием Channel1 (также известный как FSA.C1)и Channel2 (он же FSA.C2)Троянец получает команды от своего оператора через облако. 

 Для защиты от данной Группы эксперты рекомендуют предпринять следующие шаги: 

1. Анализируйте фишинговые письма, обнаруженные средствами безопасности и пользователями. 

2. Отслеживайте приложения (включая аргументы командной строки), которые часто используются киберпреступниками при первоначальном взломе (Microsoft Office, Acrobat Reader, архиваторы и др.). 

3. Ограничьте выполнение PowerShell в тех системах, где в этом нет необходимости.Следите за исполняемыми скриптами и обращайте пристальное внимание для процессов powershell.exe с длинными строками в кодировке Base64в аргументах. 

4. Отслеживайте аргументы, с которыми запускается rundll32.exe. 

5. Отслеживайте и проверяйте задачи, созданные в планировщике. 

6. Заблокируйте доступ к ненужным облачным устройствам хранения. 

7. Ищите файлы LNK, которые указывают на документы или изображения, но также укажите rundll32.exe или powershell.exe.в path файле