互联网上的幽灵:RedCurl 再次出击

阅读量148268

发布时间 : 2024-02-07 10:19:34

FACCT 威胁情报团队的网络安全研究人员 最近发现了 黑客组织 RedCurl 发起的一项新的恶意活动,目标是澳大利亚、新加坡和香港的组织。这些袭击影响了建筑、物流、航空运输和采矿业。

RedCurl 组织自 2018 年以来一直活跃,并于 2019 年首次被发现,专门从事网络间谍活动。攻击者使用独特的工具窃取商业信函、员工的个人数据和法律文件。

从最初感染目标网络到实际窃取数据,通常需要两到六个月的时间,因为黑客会仔细计划他们的所有行动。

对 RedCurl 活动的分析表明,该集团继续扩大其业务范围。在这40起成功的攻击中,只有一半发生在俄罗斯和独联体国家,其余则发生在英国、德国、加拿大和挪威。

在 2023 年末的攻击中,该组织继续使用带有 SVG 或 RAR 文件附件的电子邮件进行初始感染。这些文件通常伪装成亚马逊和三星等知名公司的官方文档,并包含下载恶意代码的机制。

RedCurl 使用复杂的机制来加强其在受害者系统上的存在,包括通过在 Windows 计划程序中创建计划任务。攻击的下一阶段包括收集有关系统的信息并将其发送到黑客的 C2 服务器。

研究人员还发现了成功攻击的例子,攻击者能够从澳大利亚公司窃取 Active Directory 数据库快照。

近期RedCurl攻击的感染链(FACCT提供)

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+16赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66