RedCurl 企业间谍黑客带着更新的黑客工具回归

一个企业网络间谍黑客组织在中断 7 个月后重新浮出水面，今年针对四家公司发起了新的入侵，其中包括俄罗斯最大的批发商店之一，同时对其工具集进行战术改进以试图阻止分析。

Group-IB 的 Ivan Pisarev说： “在每次攻击中，威胁行为者都展示了广泛的红队技能以及使用他们自己的自定义恶意软件绕过传统防病毒检测的能力。”

至少自 2018 年 11 月以来，俄国RedCurl 黑客组织已与 30 起攻击有关，其目标是针对于英国、德国、加拿大、挪威、俄罗斯和乌克兰企业的建筑、金融、咨询、零售、保险和法律等14个部门，进行网络间谍和文件盗窃。

威胁行为者使用一系列成熟的黑客工具来渗透其目标并窃取公司内部文件，例如员工记录、法庭和法律文件以及企业电子邮件历史记录，从最初感染到病毒感染之间，数据被窃取时间从两到六个月不等。

RedCurl 的作案手法标志着与其他对手的不同，尤其是因为它不部署后门，也不依赖 CobaltStrike 和 Meterpreter 等开发工具，这两种工具都被视为远程控制受感染设备的典型方法。更重要的是，尽管保持了访问权限，但尚未观察到该组织进行了以经济利益为动机的攻击，涉及加密受害者基础设施，或要求为被盗数据索取赎金。

相反，重点似乎是使用自行开发和公开可用程序的组合来尽可能隐蔽地获取有价值的信息，以便使用社会工程手段获得初始访问权限、执行侦察、实现持久性、横向移动和泄露敏感文档。

“网络空间的间谍活动是国家支持的高级持续威胁的标志，”研究人员说，“在大多数情况下，此类攻击针对的是其他国家或国有企业。企业网络间谍活动仍然相对罕见，并且在许多方面都是独一无二的。但是，该组织的成功可能会导致网络犯罪的新趋势。”

原文转自thehackernews，作者Ravie Lakshmanan，超级科技译，合作站点转载请注明出处和原文译者为超级科技！

Hi，我是超级科技

超级科技是信息安全专家，能无上限防御DDos攻击和CC攻击，阿里云战略合作伙伴！