De Russisch sprekende hackgroep genaamd Redcurl is voor het eerst gekoppeld aan een ransomware -campagne en markeert een vertrek in het handel van de dreigingsacteur.
De activiteit, waargenomen door het Roemeense cybersecuritybedrijf Bitdefender, omvat de inzet van een nooit eerder geziene ransomware-stam nagesynchroniseerd QWCrypt.
Redcurl, ook wel Earth Kapre en Red Wolf genoemd, heeft een geschiedenis van het orkestreren van bedrijfsspionageaanvallen gericht op verschillende entiteiten in Canada, Duitsland, Noorwegen, Rusland, Slovenië, Oekraïne, het Verenigd Koninkrijk en de Verenigde Staten. Het staat bekend als actief sinds minstens november 2018.
Aanvalketens gedocumenteerd door Group-IB in 2020 hielden het gebruik van speer-phishing-e-mails met Human Resources (HR) -hema-kunstaas met zich mee om het malware-implementatieproces te activeren. Eerder in januari, Huntress -gedetailleerde aanvallen die door de dreigingsacteur zijn gericht op verschillende organisaties in Canada om een lader -genaamd Redloader in te zetten met “eenvoudige achterdeurmogelijkheden”.
Vorige maand onthulde het Canadese cybersecuritybedrijf Esentire Redcurl’s gebruik van spam PDF -bijlagen die zich voordoen als CVS en sollicitatiebrieven in phishing -berichten om de lader -malware sideloads met behulp van het legitieme adobe uitvoerbare uitvoerbare “adnotificatiemanager.exe.”
De aanvalsvolgorde gedetailleerd door Bitdefender volgt dezelfde stappen, met behulp van Mountable Disk Image (ISO) -bestanden vermomd als CVS om een multi-fase infectieprocedure te initiëren. Aanwezig in de schijfafbeelding is een bestand dat een Windows-screensaver (SCR) nabootst, maar in werkelijkheid de adnotificationManager.exe binary is die wordt gebruikt om de lader (“netutils.dll”) te uitvoeren met behulp van DLL-side-loading.
“Na de uitvoering lanceert de NetUtils.Dll onmiddellijk een Shellexecutea -oproep met het Open Werkwoord en leidt de browser van het slachtoffer naar https://secure.indeed.com/Auth,” zei Martin Zugec, directeur van Technical Solutions bij Bitdefender, in een rapport gedeeld met het hacker -nieuws.
“Dit toont een legitieme inderdaad inlogpagina, een berekende afleiding die is ontworpen om het slachtoffer te misleiden door te denken dat ze gewoon een cv openen. Deze social engineering -tactiek biedt een venster voor de malware om onopgemerkt te werken.”
De lader, Per Bitdefender, fungeert ook als een downloader voor een backdoor-DLL op de volgende fase, terwijl hij ook doorzettingsvermogen op de host wordt vastgesteld door middel van een geplande taak. De nieuw opgehaalde DLL wordt vervolgens uitgevoerd met behulp van Program Compatibility Assistant (PCALUA.EXE), een techniek gedetailleerd door Trend Micro in maart 2024.
De toegang tot het implantaat heeft de weg vrijgemaakt voor laterale beweging, waardoor de dreigingsacteur door het netwerk kan navigeren, intelligentie kan verzamelen en hun toegang verder kan escaleren. Maar in wat een grote spil lijkt te zijn van hun gevestigde modus operandi, leidde een dergelijke aanval ook voor de inzet van ransomware voor het eerst.
“Deze gerichte targeting kan worden geïnterpreteerd als een poging om maximale schade toe te brengen met minimale inspanning,” zei Zugec. “Door de virtuele machines te coderen die op de hypervisors worden gehost, waardoor ze niet opstarten, schakelt Redcurl effectief de hele gevirtualiseerde infrastructuur uit, wat alle gehoste diensten beïnvloedt.”
Het uitvoerbare ransomware -bestand, naast het gebruik van de BRET UIT BRET UW EIGEN KWIVERNALE DRUGE (BYOVD) -techniek om Endpoint Security Software uit te schakelen, neemt stappen om systeeminformatie te verzamelen voordat de coderingsroutine wordt gelanceerd. Bovendien lijkt de losgeldbrief na codering te worden geïnspireerd door Lockbit-, Hardbit- en Mimic -groepen.
“Deze praktijk van het herbestemmen van bestaande Ransom Note -tekst roept vragen op over de oorsprong en motivaties van de Redcurl -groep,” zei Zugec. “Met name is er geen bekende toegewijde leksite (DLS) gekoppeld aan deze ransomware en het blijft onduidelijk of de losgeldbrief een echte afpersingspoging of een afleiding vertegenwoordigt.”
