Un mirato business email compromise (BEC) orchestrato dal gruppo di lingua russa RedCurl ha rubato con successo informazioni in 14 attacchi riusciti contro una varietà di aziende – principalmente società di costruzioni, società finanziarie e di consulenza, rivenditori, compagnie assicurative, studi legali e viaggi – in sei paesi.
Gli aggressori hanno rubato i profili dei dipendenti, le informazioni sui clienti e i piani di costruzione. RedCurl tenta di rimanere sulla rete di una vittima il più a lungo possibile, di solito da due a sei mesi, ha affermato Rustam Mirkasymov, esperto di informazioni sulle minacce presso Group-IB, che ha rilasciato un rapporto sulla campagna.
"Non lo sappiamo per certo, ma la nostra teoria è che RedCurl sia stato assunto per raccogliere informazioni aziendali per i concorrenti delle aziende attaccate", ha spiegato Mirkasymov. “Si trattava di attacchi molto mirati ed erano rigorosamente un'operazione di raccolta di informazioni aziendali a scopo di lucro, non il lavoro di uno stato-nazione. In effetti, il gruppo ha attaccato le compagnie russe ".
Mirkasymov ha detto che gli attacchi di spearphishing risalgono al 2018 e sono stati scoperti in Russia, Ucraina, Canada, Germania, Regno Unito e Norvegia. Ha detto che le e-mail mostravano l'indirizzo e il logo dell'azienda mirata e l'indirizzo del mittente presentava anche il nome di dominio dell'azienda target.
"Gli aggressori si sono presentati come membri del team delle risorse umane presso l'organizzazione mirata e hanno inviato e-mail a più dipendenti contemporaneamente, il che ha reso i dipendenti meno vigili, soprattutto considerando che molti di loro lavoravano nello stesso dipartimento", ha detto Mirkasymov.
Nella consegna del payload, RedCurl ha utilizzato archivi, i cui collegamenti sono stati inseriti nel corpo dell'e-mail. Anche se i collegamenti sono stati reindirizzati ai servizi di cloud storage pubblico, il modo in cui sono stati camuffati ha indotto gli utenti a pensare che stessero visitando il sito web ufficiale dell'azienda, secondo il rapporto. La stragrande maggioranza degli strumenti utilizzati nelle campagne RedCurl sono script di Windows PowerShell . Ad esempio, uno script di PowerShell è stato utilizzato per avviare RedCurl.Dropper e configurare l'archiviazione cloud come unità di rete.
"Quindi le vittime farebbero clic su quello che sembrava un file di Office legittimo o un documento PDF e poi si collegherebbero a un servizio cloud legittimo in cui RedCurl esfiltrerebbe i dati", ha affermato Mirkasymov.
Mirkasymov ha detto che per contrastare RedCurl, i team di sicurezza devono disabilitare PowerShell a meno che non sia assolutamente necessario. Ha affermato, ad esempio, che i professionisti della sicurezza possono configurare PowerShell per limitare le connessioni ai server con script SSL e limitare il download di file remoti da parte di PowerShell. Gli amministratori possono anche limitare l'accesso solo a ciò che è nella lista bianca dell'organizzazione.
Jamie Hart, analista di cyber threat intelligence presso Digital Shadows, ha affermato che i team di sicurezza possono mitigare il rischio di RedCurl e campagne BEC simili adottando un approccio completo alla sicurezza che include quanto segue:
- Assicurati che gli indirizzi email siano legittimi. Quando si riceve un'e-mail, in particolare da un reparto interno come il reparto risorse umane, assicurarsi che provenga da un mittente autentico. Passare il mouse sull'indirizzo del mittente può rivelare che un indirizzo e-mail potrebbe effettivamente provenire da un altro indirizzo.
- Chiama il presunto mittente al telefono. I messaggi di phishing di RedCurl vengono spesso inviati da un dominio registrato da un utente malintenzionato che assomiglia al nome di dominio del bersaglio e utilizza servizi cloud legittimi, quindi chiamare il dipartimento interno da cui appare l'e-mail riduce la possibilità di utilizzare un indirizzo e-mail legittimo. Inoltre, elimina la possibilità che indirizzi e-mail molto simili vengano interpretati erroneamente o scambiati per legittimi.
- Educa i dipendenti su BEC, ingegneria sociale e spoofing. La formazione dovrebbe includere istruzioni su come individuare le e-mail di phishing, come segnalare e-mail sospette e quando parlare di collegamenti o allegati sospetti.
Gli attacchi BEC post- mirati rubano dati aziendali in sei paesi, presentandosi come HR apparso per primo su SC Media .