Il gruppo di hacker di lingua russa noto come RedCurl ha recentemente cambiato il suo approccio, passando dall'attività di spionaggio a campagne ransomware, segnando una svolta significativa nelle loro operazioni. Questa evoluzione è stata evidenziata dal dispiegamento di un nuovo ceppo di ransomware chiamato QWCrypt, osservato dall'azienda di cybersecurity rumena Bitdefender. RedCurl, conosciuto anche come Earth Kapre e Red Wolf, ha storicamente orchestrato attacchi di spionaggio aziendale verso entità in diversi paesi, tra cui Canada, Germania, Norvegia, Russia e Stati Uniti, ed è attivo almeno dal novembre 2018.

Le catene di attacco documentate

Le catene di attacco documentate da Group-IB nel 2020 coinvolgevano l'uso di email di spear-phishing con esche a tema risorse umane per attivare il processo di distribuzione del malware. A gennaio, l'azienda canadese di cybersecurity Huntress ha dettagliato attacchi del gruppo RedCurl contro diverse organizzazioni in Canada, utilizzando un loader chiamato RedLoader, dotato di semplici capacità di backdoor. Lo scorso mese, eSentire ha rivelato l'uso da parte di RedCurl di allegati PDF spam camuffati da CV e lettere di presentazione nei messaggi di phishing, per caricare malware utilizzando l'eseguibile legittimo Adobe "ADNotificationManager.exe".

La sequenza di attacco dettagliata da Bitdefender segue gli stessi passaggi, utilizzando file immagine disco montabili (ISO) mascherati da CV per avviare una procedura d'infezione a più fasi. All'interno del file ISO si trova un file che imita uno screensaver di Windows (SCR), ma che in realtà è il binario ADNotificationManager.exe utilizzato per eseguire il loader ("netutils.dll") tramite DLL side-loading.

Dopo l'esecuzione, il netutils.dll lancia immediatamente una chiamata ShellExecuteA con il verbo open, indirizzando il browser della vittima a una pagina di accesso legittima di Indeed, creando una distrazione calcolata per ingannare la vittima, facendole credere di aprire semplicemente un CV. Questo stratagemma fornisce una finestra per il malware per operare senza essere rilevato. Secondo Bitdefender, il loader funge anche da downloader per una backdoor DLL di fase successiva, stabilendo la persistenza sull'host tramite un'attività programmata. La nuova DLL recuperata viene poi eseguita utilizzando l'Assistente compatibilità programmi (pcalua.exe), una tecnica dettagliata da Trend Micro nel marzo 2024.

L'accesso fornito dall'impianto apre la strada al movimento laterale, permettendo agli aggressori di navigare nella rete, raccogliere intelligence e aumentare ulteriormente il loro accesso. Tuttavia, in quello che sembra essere un importante cambiamento dalla loro modalità operativa consolidata, uno di questi attacchi ha portato per la prima volta al dispiegamento di ransomware. Questo targeting mirato può essere interpretato come un tentativo di infliggere il massimo danno con il minimo sforzo, rendendo inavviabili le macchine virtuali ospitate sugli hypervisor e disabilitando di fatto l'intera infrastruttura virtualizzata, con un impatto su tutti i servizi ospitati.