Grup peretasan berbahasa Rusia menelepon Redcurl telah dikaitkan dengan kampanye ransomware untuk pertama kalinya, menandai keberangkatan di tradecraft aktor ancaman.
Kegiatan tersebut, yang diamati oleh perusahaan keamanan siber Rumania Bitdefender, melibatkan penyebaran strain ransomware yang belum pernah dilihat sebelumnya dijuluki Qwcrypt.
Redcurl, juga disebut Earth Kapre dan Red Wolf, memiliki sejarah mengatur serangan spionase perusahaan yang ditujukan untuk berbagai entitas di Kanada, Jerman, Norwegia, Rusia, Slovenia, Ukraina, Inggris, dan Amerika Serikat. Ini diketahui aktif sejak setidaknya November 2018.
Rantai serangan yang didokumentasikan oleh grup-IB pada tahun 2020 mensyaratkan penggunaan email-email phishing yang bertema Sumber Daya Manusia (SDM) untuk mengaktifkan proses penyebaran malware. Awal Januari ini, serangan Huntress yang detail yang dipasang oleh aktor ancaman yang menargetkan beberapa organisasi di Kanada untuk menggunakan loader yang dijuluki Redloader dengan “kemampuan pintu belakang sederhana.”
Kemudian bulan lalu, perusahaan cybersecurity Kanada Esentire mengungkapkan penggunaan lampiran PDF spam Redcurl yang menyamar sebagai CVS dan surat pengantar dalam pesan phishing untuk memuat malware loader menggunakan adobe yang dapat dieksekusi “adnotificationManager.exe.”
Urutan serangan yang dirinci oleh Bitdefender melacak langkah-langkah yang sama, menggunakan file Disk Image (ISO) Mountable yang disamarkan sebagai CVS untuk memulai prosedur infeksi multi-tahap. Hadir dalam gambar disk adalah file yang meniru screensaver windows (SCR) tetapi, pada kenyataannya, adalah biner adnotificationManager.exe yang digunakan untuk mengeksekusi loader (“netutils.dll”) menggunakan pemuatan samping DLL.
“Setelah eksekusi, Netutils.dll segera meluncurkan panggilan Shellexecutea dengan kata kerja terbuka, mengarahkan browser korban ke https://secure.indeed.com/Auth,” Martin Zugec, direktur solusi teknis di Bitdefender, mengatakan dalam sebuah laporan yang dibagikan kepada Hacker News.
“Ini menampilkan halaman login yang sah, gangguan yang diperhitungkan yang dirancang untuk menyesatkan korban berpikir bahwa mereka hanya membuka CV. Taktik teknik sosial ini menyediakan jendela bagi malware untuk beroperasi tidak terdeteksi.”
 |
| Sumber Gambar: Esentire |
Loader, per bitdefender, juga bertindak sebagai pengunduh untuk DLL backdoor tahap berikutnya, sementara juga membangun kegigihan pada host melalui tugas yang dijadwalkan. DLL yang baru diambil kemudian dieksekusi menggunakan Program Compatibility Assistant (PCALUA.EXE), sebuah teknik yang dirinci oleh Trend Micro pada Maret 2024.
Akses yang diberikan oleh implan membuka jalan bagi pergerakan lateral, memungkinkan aktor ancaman untuk menavigasi jaringan, mengumpulkan intelijen, dan semakin meningkatkan akses mereka. Tetapi dalam apa yang tampaknya menjadi poros besar dari modus operandi mereka yang sudah mapan, satu serangan seperti itu juga menyebabkan penyebaran ransomware untuk pertama kalinya.
“Penargetan terfokus ini dapat diartikan sebagai upaya untuk menimbulkan kerusakan maksimum dengan upaya minimum,” kata Zugec. “Dengan mengenkripsi mesin virtual yang diselenggarakan di hypervisors, menjadikannya tidak bisa dikotori, Redcurl secara efektif menonaktifkan seluruh infrastruktur tervirtualisasi, memengaruhi semua layanan yang di -host.”
Ransomware dapat dieksekusi, selain menggunakan teknik BRAD Your Own Rentan (BYOVD) untuk menonaktifkan perangkat lunak keamanan titik akhir, mengambil langkah -langkah untuk mengumpulkan informasi sistem sebelum meluncurkan rutin enkripsi. Terlebih lagi, catatan tebusan turun dari enkripsi berikut tampaknya terinspirasi oleh lockbit, hardbit, dan kelompok mimik.
“Praktik menggunakan ulang teks uang tebusan yang ada menimbulkan pertanyaan tentang asal -usul dan motivasi kelompok Redcurl,” kata Zugec. “Khususnya, tidak ada situs kebocoran khusus yang diketahui (DLS) yang terkait dengan ransomware ini, dan masih belum jelas apakah catatan tebusan mewakili upaya pemerasan asli atau pengalihan.”
