Специалисты управления киберразведки BI.ZONE зафиксировали новую кампанию группировки Red Wolf, которая специализируется на промышленном шпионаже.
- Red Wolf продолжает использовать традиционные методы доставки ВПО, в частности электронные фишинговые письма, содержащие ссылки на загрузку вредоносных файлов.
- В контексте обнаруженной кампании атакующие использовали IMG-файлы с вредоносными ярлыками, открытие которых жертвой приводило к загрузке и запуску
RedCurl.FSABIN. - Арсенал группировки состоит из фреймворка собственной разработки, а также ряда общедоступных инструментов, который, например, включает LaZagne и AD Explorer. Кроме того, для решения задач постэксплуатации группировка активно использует интерпретатор PowerShell.
- Группировка фокусируется на корпоративном шпионаже и предпочитает медленное продвижение по скомпрометированной инфраструктуре, оставаясь незамеченной до 6 месяцев.
Indicators of Compromise
Domains
- app-ins-001.amscloudhost.com
- m-dn-001.amscloudhost.com
- m-dn-002.amscloudhost.com
SHA256
- 3bd054a5095806cd7e8392b749efa283735616ae8a0e707cdcc25654059bfe6b
- 4188c953d784049dbd5be209e655d6d73f37435d9def71fd1edb4ed74a2f9e17
- e7b881cd106aefa6100d0e5f361e46e557e8f2372bd36cefe863607d19471a04