RedCurl APT IOCs

Компания FAССT сообщила о новых атаках хак-группы RedCurl, специализирующейся на коммерческом шпионаже и краже корпоративной документации. На этот раз одной из жертв русскоговорящих хакеров стал крупный российский банк. Киберпреступники атаковали финансовое учреждение дважды: сначала напрямую с помощью таргетированных фишинговых рассылок от имени крупного российского маркетплейса, а затем — через компанию-подрядчика.

Осенью 2022 года Red Curl провели успешную атаку по типу Supply Chain на крупный российский банк из перечня системно значимых кредитных организаций.

• В фишинговых рассылках кибершпионы использовали бренд известного российского маркетплейса.
• Обнаружен новый инструмент RedCurl.SimpleDownloader, адаптированный под кампанию.
• RedCurl обновила уже известные инструменты.
• В июне-июле 2023 была обнаружена новая атака RedCurl, направленная на неизвестную австралийскую организацию с использованием бренда международной компании по перевозке грузов.

Indicators of Compromise

URLs

• http://app-ins-001.amscloudhost.com/dn01
• http://app-l01.msftcloud.click/ldn07_dhl_au/
• http://buyhighroad.scienceontheweb.net
• http://earthmart.c1.biz
• http://l-dn-01.msftcloud.click
• http://l-dn-02.msftcloud.click
• http://m-dn-001.amscloudhost.com/
• http://m-dn-002.amscloudhost.com/
• http://tdnmouse.atspace.eu
• http://worldhome.mypressonline.com

MD5

• 00dc05c9a887a972fe6040904ce34937
• 2b3dda526117ddc74c6283d907fcba6c
• 46a7d14e899171a136f69782a5cbbe35
• 51ba3108516b2d30227e0d80bb9a5dda
• 54f2742ab47c2beef37a622af4026f29
• 6ece95df231083c37ecf9a39c324e2bb
• 7fd2a533dbf1a50f48d830c168bc901b
• 8e4735922d2603c1df0f3fae4271fdf4
• 9d7d79c17dab6ff01c5804866eb4c81d
• a01c3614978eead50b432df5f774acb5
• a228abbbc4606dd1b64f029de905c8e8
• a7b515678444d3590acf45bfc508b784
• e834b9ab51d89058bccdcc1f08ad7cda
• f3ee2284890a60062f5368e362a6257e

SHA1

• 1004309c4567b45f3ecc7219765a1584aff6deec
• 1d1a59b1a3a9e5477ff6763ff97f90b52613932d
• 2879784ff893812213e11d712679e3fb006ac99e
• 350c9700a5667e97b78eb54e0235957a5dbb08e8
• 61d31505561f0d01bfab58964e9e835ea5637700
• 6eef78d1444ddc164bd3475118c83eb29413cc98
• 7d01c27e827e02f32f12ada25da929fa911e965c
• 7ec919cb8ea81f9b2c382e4fcb84a97796396bfe
• 9939f68875e6592a08a82a04bc9a493fcf7d5ba6
• a1cb733708debb4c51967bf56ca0a0f750156cfa
• a30c313b6b072221d1a5d92c8669e01b491e9309
• ab32db7847e5e4020399963cbf746390017bb8e1
• b78de4dbe050fe2a320c5e5b7bcd6000f7f455be

SHA256

• 06393bb2ef7bd7a6932463aba0a7b380a68f2e2902dda2938e87650d09f38b04
• 2bee152f88d58fb7561c47c19b7711b8446ddd8a53988981e2b9f0ad9c247c5f
• 2c924c954a579c71a80fd002c46ba2c6185a2936b4b3dc6752028485280f8852
• 3bd054a5095806cd7e8392b749efa283735616ae8a0e707cdcc25654059bfe6b
• 4188c953d784049dbd5be209e655d6d73f37435d9def71fd1edb4ed74a2f9e17
• 57e93d2fca14439cbd75a09f2e2cb7543522350a39025f5db96dbd24dddcacc8
• b17bc74e356f7f6c45a3eb25b9dae364e5ff9d313800c2800c1044517839dfa5
• baf4d0c2a23f208951321e767b80f42f752dd79e04bdcfec64a97cb92aa4caf6
• c2025f23e333c5c3030afee647b509cbc41e3c1ccb7d5ee0a6e6dd9b67e17e60
• c848903b22087c4f037103ea3ea00cfbbb6f682bac60e0b2bff36a38242798c4
• d2e1bb8ababa336297a3c7ffc4882b2a33659ed6c549c6a0df8a5ed84afd7e3c
• e7b881cd106aefa6100d0e5f361e46e557e8f2372bd36cefe863607d19471a04
• e882e136fb56b10a1bc0691b7a7560d981d7d00abe59e15e3e85b89d90b461fa