Эксперты компании BI.ZONE обнаружили новую волну атак группировки Red Wolf (также известна как RedCurl), которая не проявляла себя с 2022 года. Однако в период 2018 — 2021 гг она совершила 30 атак, цель которых — шпионаж и кража корпоративных документов. Последняя активность этой группировки относится в 2021 году. Сейчас группировка возобновила свою деятельность. Как и прежде, атакующие нацелены на конфиденциальные данные российских, немецких, украинских, канадских, норвежских и английских коммерческих организаций.
Коммерческий шпионаж
Еще в 2020 году специалисты компании F.A.C.C.T. обнаружили русскоязычную хакерскую группу, получившую имя RedСurl. Все атаки этой группировки целенаправленные: письма и загрузчики вредоносов создаются под конкретную жертву, что с одной стороны затрудняет их обнаружение, но с другой — позволяет идентифицировать цель атаки. Как и во многих кампаниях, целью которых является шпионаж, для получения первоначального доступа в целевую сетевую инфраструктуру Red Wolf используют фишинговые электронные письма. В части кампаний атакующие представлялись сотрудниками управления по работе с персоналом целевых организаций и рассылали такие письма не одному, а сразу нескольким сотрудникам, что позволяло снизить их бдительность. Для доставки полезной нагрузки Red Wolf использовали архивы, ссылки на которые были размещены в теле писем. Несмотря на то, что они вели на публичные облачные хранилища, маскировка внушала уверенность, что пользователь переходит на официальный сайт компании.
В обнаруженной экспертами BI.ZONE кампании, которая началась сейчас, злоумышленники использовали образы дисков для доставки вредоносного программного обеспечения на целевые системы. Как и в ранних атаках процесс компрометации включал несколько стадий, с помощью которых злоумышленники максимально маскировались под безопасные источники — это затрудняло их обнаружение традиционными средствами защиты. По результатам успешной компрометации вредоносная утилита Red Wolf отправляла данные о системе на командный сервер и загружала дополнительное вредоносное программное обеспечение.
«Обычно шпионажем занимаются спонсируемые государствами группы, поэтому страдают в основном промышленные и государственные компании, — пояснил ситуацию руководитель управления киберразведки BI.ZONE Олег Скулкин. — Но есть исключения, например Red Wolf. Ее цели — преимущественно коммерческие организации. Группировка предпочитает медленное продвижение по скомпрометированной ИТ-инфраструктуре, оставаясь незамеченной до полугода. Несмотря на использование широко известных методов реализации атак, злоумышленникам все же удается эффективно противодействовать традиционным средствам защиты, сводя возможность обнаружения к минимуму».
Защита от целенаправленного фишинга
Чтобы снизить риск подобных атак, необходимо наладить защиту электронной почты в том числе и с использованием технологии APT-защиты под названием “Песочница”. Именно электронную почту использовали злоумышленники из Red Wolf для первоначального распространения своих вредоносов. Важно, чтобы компания могла остановить кибератаку на любой стадии ее развития. Для этого эксперты рекомендуют доверить выявление киберугроз, реагирование на них и их предупреждение экспертам по мониторингу событий кибербезопасности. Кроме того, стоит регулярно проводить киберучения по рассылке сотрудникам фишинговых писем, чтобы они в каждом сообщении даже якобы от внутренних отправителей могли обнаружить признаки посторонних манипуляций.
