FACCT 威胁情报团队的网络安全研究人员 最近发现了 黑客组织 RedCurl 发起的一项新的恶意活动,目标是澳大利亚、新加坡和香港的组织。这些袭击影响了建筑、物流、航空运输和采矿业。
RedCurl 组织自 2018 年以来一直活跃,并于 2019 年首次被发现,专门从事网络间谍活动。攻击者使用独特的工具窃取商业信函、员工的个人数据和法律文件。
从最初感染目标网络到实际窃取数据,通常需要两到六个月的时间,因为黑客会仔细计划他们的所有行动。
对 RedCurl 活动的分析表明,该集团继续扩大其业务范围。在这40起成功的攻击中,只有一半发生在俄罗斯和独联体国家,其余则发生在英国、德国、加拿大和挪威。
在 2023 年末的攻击中,该组织继续使用带有 SVG 或 RAR 文件附件的电子邮件进行初始感染。这些文件通常伪装成亚马逊和三星等知名公司的官方文档,并包含下载恶意代码的机制。
RedCurl 使用复杂的机制来加强其在受害者系统上的存在,包括通过在 Windows 计划程序中创建计划任务。攻击的下一阶段包括收集有关系统的信息并将其发送到黑客的 C2 服务器。
研究人员还发现了成功攻击的例子,攻击者能够从澳大利亚公司窃取 Active Directory 数据库快照。
近期RedCurl攻击的感染链(FACCT提供)
发表评论
您还未登录,请先登录。
登录