기업 스파이 해커인 RedCurl, 해킹 툴 업데이트해 돌아와

RedCurl Corporate Espionage Hackers Return With Updated Hacking Tools

 

한 기업 사이버 스파이 해커 그룹이 러시아에서 가장 큰 도매점 중 하나를 포함 4개 기업을 노리는 새로운 공격으로 7개월 만에 다시 나타났습니다. 이들은 분석을 방지하기 위해 툴 세트를 전략적으로 개선했습니다.

 

Group-IB의 Ivan Pisarev는 아래와 같이 밝혔습니다.

 

"공격자는 실행된 모든 공격에서 광범위한 레드 팀 스킬과 자체 커스텀 악성코드를 통해 기존 안티바이러스 탐지를 우회합니다.”

 

적어도 2018년 11월부터 활동을 시작한 러시아어를 구사하는 RedCurl 해킹 그룹은 기업 사이버 스파이 및 문서 탈취를 목적으로 영국, 독일, 캐나다, 노르웨이, 러시아, 우크라이나에 위치한 건설, 금융, 컨설팅, 소매, 보험, 법률 분야에 걸쳐 조직 14곳을 노린 공격 30건과 관련이 있습니다.

 

 

<이미지 출처 : https://www.group-ib.com/media/red-curl-threat-report/>

 

 

공격자는 일련의 기존 해킹 도구를 통해 타깃에 침투 후 직원 기록, 법원 및 법률 파일, 기업 이메일 기록 등 내부 기업 문서를 훔칩니다. 이들은 실제로 데이터를 훔치기 전 초기 감염 후 2~6개월 동안 시스템에 상주합니다.

 

RedCurl의 작전은 다른 공격자들과 차이를 보입니다. 이들은 감염된 기기를 원격으로 제어하는데 사용되는 일반적인 방식을 따르지 않습니다. 백도어를 배포하지 않고 CobaltStrike 및 Meterpreter와 같은 사후 악용 툴을 사용하지 않습니다. 또한 이들은 금전적 이득을 위해 피해자 인프라를 암호화하거나, 훔친 데이터에 대한 랜섬머니를 요구하는 공격을 실행하지 않는 것으로 보입니다.

 

오히려 사회 공학적 기법을 사용하여 초기 접근 권한을 얻고, 정찰을 수행하고, 지속성을 얻고, 측면으로 이동하고, 민감 문서를 추출하기 위해 자체 개발한 프로그램과 공개적으로 얻을 수 있는 프로그램을 조합해 가능한 한 은밀히 귀중한 정보를 얻는 데 집중합니다.

 

 

<이미지 출처 : https://www.group-ib.com/media/red-curl-threat-report/>

 

 

연구원들은 아래와 같이 결론지었습니다.

 

"사이버 공간에서의 스파이 활동은 국가가 후원하는 APT의 특징입니다."

 

"이러한 공격은 대부분의 경우 다른 국가나 국영 기업을 노립니다. 기업 사이버 스파이 활동은 여전히 ​​상대적으로 드물고, 여러 면에서 흔치 않습니다. 하지만 그룹이 성공을 거둘 경우 사이버 범죄의 새로운 추세로 이어질 가능성이 있습니다."

 

 

 

 

출처:

https://thehackernews.com/2021/11/redcurl-corporate-espionage-hackers.html

https://www.group-ib.com/media/red-curl-threat-report/