Компания Huntress обнаружила активность нескольких организаций в Канаде, которая может быть связана с APT-группой RedCurl (Earth Kapre и Red Wolf). RedCurl известна своими атаками кибершпионажа, где они остаются незамеченными в течение длительных периодов времени и собирают данные из электронной почты, корпоративных документов и конфиденциальных файлов. RedCurl часто атакует компании из различных отраслей, включая оптовую розницу, финансы, туризм и строительство.
RedCurl APT
Huntress заметил, что активность RedCurl началась в ноябре 2023 года и продолжалась в середине и конце 2024 года. Компания обнаружила схожую инфраструктуру и тактику, используемую RedCurl. В ходе расследования Huntress обнаружила, что организации, которые они наблюдали, использовали сценариевые файлы и команды PowerShell для загрузки и распаковки файлов с помощью 7zip. А затем выполнялись команды Python для соединения с прокси-сервером и отправки собранных данных в облачное хранилище.
Хотя методы RedCurl остаются схожими с предыдущими атаками, конкретные методы и цепочка заражения немного отличаются. RedCurl использует PowerShell и Python для выполнения различных команд, загрузки и архивации файлов, а также отправки их на удаленный сервер. Они также удаляют созданные файлы и каталоги после выполнения атаки.
Эта активность RedCurl представляет определенную угрозу для организаций в Канаде, и Huntress рекомендует принять соответствующие меры для обнаружения и предотвращения таких атак. Они подчеркивают, что важно обратить внимание на использование PowerShell и Python в подозрительных командах и скриптах, а также на необычную активность сетевого трафика. Компания также предоставляет рекомендации по установке системы мониторинга и обновлению антивирусных программ для борьбы с этой угрозой.
Indicators of Compromise
IPv4
- 103.139.238.168
- 104.21.22.32
- 104.21.37.229
- 104.21.83.219
- 172.64.80.1
- 172.67.182.51
- 172.67.202.51
- 172.67.214.172
- 188.130.207.253
- 193.176.158.30
- 23.254.224.79
Domains
- alphastoned.pro
- bora.teracloud.jp
- cdn.wgroadcdn.workers.dev
- sup.wgsphere.workers.dev
SHA256
- 01d94de4d104f6df121f97bae9cbbfada5a9cd4c3af0e1c403271d8284815cad
- 1935692d1c4492f99c969d11d81481aea736f3899b1f55af9c8f6cf6ca9b839c
- 4af2c0c6087f9410cf57af4cf7eb09b5a3038bb78f4e50625402e32ad9662e66
- 574a55706697d7e0109cf920ae6e0047cd7a802c9ad457e3b68e7802f3f902ef
- 5a8314cbdccc7362a100b9db92b05597dad37c13b4cbb7b0fd1ef58d625dd454
- 6d85ad9e14a23ed6bf700f636273b30f53c54267d0f624c8ff7bc0008f7db4f7
- 8117e40ee7f824f63373a4f5625bb62749f69159d0c449b3ce2f35aad3b83549
- 904669bd897dbb99561ef080d9818ff4bc9c106aa476d25b992439cdea4d1b0b
- 9bdf91507fb4f3772a6d66a78f0f1f44075eefba4af65094c374f9d72e25bade
- 9d667de8a99e757176cea1aa0af0d81972005d4abf3b7aff942d8c30fb151e35
- c75048a4933c3061f6cd02c8ca96ed524166fce4cc4b9e0c7ea6ac8295dc3c47
- ea308c76a2f927b160a143d94072b0dce232e04b751f0c6432a94e05164e716d
- ff3706e94d9b769f78e4271928382426cb034b11c5a0f6a8ffea35726cc03692