Комплаенс / Новости 13 августа

Group-IB выявила специализирующуюся на корпоративном шпионаже хакерскую группировку

Специализирующаяся на предотвращении кибератак компания Group-IB выявила ранее неизвестную хакерскую группировку, которая специализируется на корпоративном шпионаже.

По данным опубликованного в четверг аналитического отчета компании, группа RedCurl активна как минимум с 2018 года и предположительно состоит из русскоговорящих хакеров. Она проводит целевые атаки на частные компании для получения конфиденциальных документов, содержащих коммерческую тайну и персональные данные сотрудников (контракты, финансовая документация, личные дела сотрудников, документы по судебным делам, строительству объектов и др.).

Это может свидетельствовать о заказном характере атак с целью недобросовестной конкуренции, предупреждают в Group-IB.

Всего группа совершила 26 атак на компании из таких секторов, как строительство, финансы, ритейл, банки, страхование, туризм, и др. Хакеры осуществляли атаки на коммерческие организации в России, Великобритании, Германии, Канаде, Норвегии и на Украине. Жертвами хакеров стали 14 организаций.

При этом в России было атаковано как минимум 10 организаций, пояснили "Интерфаксу" в пресс-службе Group-IB.

Подход RedCurl напоминает действия ИБ-компаний, оказывающих услуги по организации тестов на проникновение, проверки защищенности компаний от сложных кибератак, в которых используются, в числе прочего, методы социальной инженерии.

Хакерская группа направляет фишинговые письма, которые составляются под конкретную команду сотрудников компании. Чаще всего рассылка осуществлялась якобы от HR-департамента сразу нескольким сотрудникам одного отдела - чтобы снизить их бдительность. Письма содержали подпись, логотип, поддельное доменное имя компании, а также тщательно замаскированные ссылки, которые запускают в локальной сети организации троян, который контролируется хакерами через облако.

Далее злоумышленники просматривают список папок и документов, доступных с зараженной машины, после выгружают интересующие их документы. Все найденные на сетевых дисках ярлыки к файлам с расширениями jpg, pdf, doc, docx, xls, xlsx подменяются на вредоноcные, при открытии которых другие пользователи также запускают на своих компьютерах троян.

Также злоумышленники пытаются получить учетные данные от электронной почты с помощью инструмента, который извлекает пароли из памяти и файлов, сохраненных в веб-браузере жертвы. После этого хакеры анализируют и проводят выгрузку всех интересующих их документов на облачные хранилища.

После получения первоначального доступа хакеры находятся в сети жертвы 2-6 месяцев. При этом всё взаимодействие между инфраструктурой жертвы и атакующими происходит через легитимные облачные хранилища.