RedCurl: Hacker gehen gegen Unternehmen in Großbritannien und Deutschland vor

Der Sicherheitsanbieter Group-IB warnt vor einer neuen Russisch sprechenden Hackergruppe, die sich seit rund drei Jahren auf Industriespionage spezialisiert haben soll. Die Aktivitäten der RedCurl genannten Gruppe verfolgen die Forscher bereits seit Sommer 2019. Sie machen die Cyberkriminellen für insgesamt 26 Angriffe gegen 14 Organisationen in 6 Ländern verantwortlich, darunter Deutschland.

Betroffen waren bisher Unternehmen aus den Bereichen Bau, Einzelhandel und Reisen. Es wurden aber auch Versicherungen, Banken, Anwaltskanzleien und Beratungsfirmen angegriffen, und zwar in Russland, der Ukraine, Kanada, Großbritannien, Norwegen und Deutschland. Gestohlen wurden zumeist vertrauliche Dokumente mit Geschäftsgeheimnissen, aber auch persönliche Daten von Angestellten.

Statt auf ausgefeilte Hacking-Tools setzen die Hacker der Analyse zufolge auch Spear-Phishing, um sich Zugang zu einem Netzwerk eines Opfers zu verschaffen. „Die Besonderheit von RedCurl ist, dass der E-Mail-Inhalt sorgfältig verfasst ist“, sagten die Forscher. „Zum Beispiel zeigten die E-Mails die Adresse und das Logo der Zielfirma, während die Absenderadresse den Domainnamen der Firma enthielt.“

Oftmals hätten sich die Angreifer als Mitarbeiter der Personalabteilung ausgegeben und Nachrichten an mehrere Beschäftigte eines Unternehmens verschickt. Das habe den Phishing-Angriff weniger verdächtig gemacht, vor allem, wenn die Empfänger in einer Abteilung arbeiteten.

Die E-Mails wiederum enthielten Links zu mit Malware verseuchten Dateien, die die Opfer herunterladen sollten. Wurden die Dateien tatsächlich geöffnet, setzten sie mehrerer auf PowerShell basierende Trojaner frei.

Diese Trojaner fanden die Forscher bisher nur bei RedCurl-Angriffen. Sie erlaubten es den Hackern, die befallenen Systeme zu durchsuchen und weitere Schadsoftware herunterzuladen. Der Upload von Dateien auf von den Hackern kontrollierte Server gehörte ebenfalls zum Funktionsumfang. Allerdings nutzten die Hacker dafür das nur selten eingesetzte WebDAV-Protokoll.

Darüber hinaus versuchten die Hacker, weitere Systeme im Netzwerk zu infizieren. Unter anderem ersetzten sie Dateien auf Netzwerkfreigaben durch Verknüpfungen, die zur Schadsoftware statt den eigentlichen Dateien führten. „Die Phase der Ausbreitung über das Netzwerk wird mit der Zeit deutlich verlängert, da die Gruppe bestrebt ist, so lange wie möglich unbemerkt zu bleiben und keine aktiven Trojaner einsetzt, die ihre Präsenz aufdecken könnten“, ergänzten die Forscher.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kryptobörse KuCoin ausgeraubt

Hacker haben bei einem virtuellen Banküberfall auf die Kryptobörse Kucoin mindestens 150 Millionen US-Dollar erbeutet.

4 Stunden ago

Google entfernt 17 verseuchte Apps aus dem Play Store

Google hat auf Hinweis von Zscaler 17 Apps gelöscht, die mit Malware infiziert waren. Auch…

5 Stunden ago

Chinesische Hacker schieben Microsoft schädliche Azure Active Directory Apps unter

Sie setzen insgesamt 18 Anwendungen bis April 2020 für Angriffe auf nicht genannte Ziele ein.…

3 Tagen ago

Schlafende Tabs: Microsoft reduziert Stromverbrauch seines Browsers Edge

Tests zufolge sinkt die Speicherauslastung um durchschnittlich 26 Prozent. Die CPU-Nutzung geht um 29 Prozent…

3 Tagen ago

Apple behebt Fehler in macOS 10.15 Catalina und iOS 14

Unter iOS und iPadOS lassen sich Standardanwendungen für Browser und E-Mail nun dauerhaft einrichten. Auch…

3 Tagen ago

IAM-Lösung von Beta Systems bei der Thüringer Aufbaubank

Die Beta Systems Software AG setzt in einem IAM-Projekt bei der Thüringer Aufbaubank Rollenkonzepte mit…

3 Tagen ago