Der Sicherheitsanbieter Group-IB warnt vor einer neuen Russisch sprechenden Hackergruppe, die sich seit rund drei Jahren auf Industriespionage spezialisiert haben soll. Die Aktivitäten der RedCurl genannten Gruppe verfolgen die Forscher bereits seit Sommer 2019. Sie machen die Cyberkriminellen für insgesamt 26 Angriffe gegen 14 Organisationen in 6 Ländern verantwortlich, darunter Deutschland.
Betroffen waren bisher Unternehmen aus den Bereichen Bau, Einzelhandel und Reisen. Es wurden aber auch Versicherungen, Banken, Anwaltskanzleien und Beratungsfirmen angegriffen, und zwar in Russland, der Ukraine, Kanada, Großbritannien, Norwegen und Deutschland. Gestohlen wurden zumeist vertrauliche Dokumente mit Geschäftsgeheimnissen, aber auch persönliche Daten von Angestellten.
Statt auf ausgefeilte Hacking-Tools setzen die Hacker der Analyse zufolge auch Spear-Phishing, um sich Zugang zu einem Netzwerk eines Opfers zu verschaffen. „Die Besonderheit von RedCurl ist, dass der E-Mail-Inhalt sorgfältig verfasst ist“, sagten die Forscher. „Zum Beispiel zeigten die E-Mails die Adresse und das Logo der Zielfirma, während die Absenderadresse den Domainnamen der Firma enthielt.“
Oftmals hätten sich die Angreifer als Mitarbeiter der Personalabteilung ausgegeben und Nachrichten an mehrere Beschäftigte eines Unternehmens verschickt. Das habe den Phishing-Angriff weniger verdächtig gemacht, vor allem, wenn die Empfänger in einer Abteilung arbeiteten.
Die E-Mails wiederum enthielten Links zu mit Malware verseuchten Dateien, die die Opfer herunterladen sollten. Wurden die Dateien tatsächlich geöffnet, setzten sie mehrerer auf PowerShell basierende Trojaner frei.
Diese Trojaner fanden die Forscher bisher nur bei RedCurl-Angriffen. Sie erlaubten es den Hackern, die befallenen Systeme zu durchsuchen und weitere Schadsoftware herunterzuladen. Der Upload von Dateien auf von den Hackern kontrollierte Server gehörte ebenfalls zum Funktionsumfang. Allerdings nutzten die Hacker dafür das nur selten eingesetzte WebDAV-Protokoll.
Darüber hinaus versuchten die Hacker, weitere Systeme im Netzwerk zu infizieren. Unter anderem ersetzten sie Dateien auf Netzwerkfreigaben durch Verknüpfungen, die zur Schadsoftware statt den eigentlichen Dateien führten. „Die Phase der Ausbreitung über das Netzwerk wird mit der Zeit deutlich verlängert, da die Gruppe bestrebt ist, so lange wie möglich unbemerkt zu bleiben und keine aktiven Trojaner einsetzt, die ihre Präsenz aufdecken könnten“, ergänzten die Forscher.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
Noch keine Kommentare zu RedCurl: Hacker gehen gegen Unternehmen in Großbritannien und Deutschland vor
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.