ITanalyze

بر اساس تحقیقات اخیر، گروه هکری روسی زبان ردکرل (RedCurl)، اوایل سال جاری به یک بانک بزرگ روسی و یک شرکت استرالیایی ناشناس حمله کرده تا اسرار آنها را بدزدد.
به گزارش سایبربان، بر اساس گزارشی که روز دوشنبه توسط شرکت اف ای سی سی تی (F.A.C.C.T) که در روسیه قرار دارد و شاخه ای از شرکت امنیت سایبری گروه آی بی (Group-IB) است منتشر شده است، این حوادث آخرین مورد از یک رشته حداقل 34 حمله در چهار سال گذشته بوده است.

گروه ردکرل حداقل از سال 2018 جاسوسی تجاری انجام داده است و طیف گسترده ای از سازمان ها از جمله ساخت و ساز، امور مالی، شرکت های مشاوره، خرده فروشان، بانک ها، شرکت های بیمه و اشخاص حقوقی را هدف قرار داده است.

شرکت اف ای سی سی تی می گوید: حدود نیمی از حملات به قربانیان در روسیه انجام شده است، در حالی که نیمی دیگر سازمان‌هایی را در اوکراین، کانادا و اروپا، هدف قرار داده‌اند.

این گروه اطلاعات قربانیان خود را رمزگذاری نمی کند و تقاضای باج نمی کند.

به گفته محققان، این سازمان به دنبال اسناد حاوی اسرار تجاری و داده‌های شخصی کارکنان است و تلاش می‌کند تا آن‌ها را تا حد امکان با احتیاط به دست آورد.

گروه ردکرل دو تلاش برای حمله به بانکی ناشناس در روسیه انجام داده است.

شرکت اف ای سی سی تی می گوید: در اولین اقدام در نوامبر 2022، آنها از ایمیل های فیشینگ استفاده کردند اما شکست خوردند. سپس در اردیبهشت ماه سال جاری، این گروه با موفقیت یکی از پیمانکاران بانک را هدف قرار داد تا به زیرساخت های قربانی دسترسی پیدا کند. در ماه ژوئن، ردکرل از همین تاکتیک ها و ابزارها در حمله به شرکت استرالیایی استفاده کرده است.

به گفته محققان، این گروه عمدتا ابزارهای خود را می سازد یا بدافزارهای موجود را اصلاح می کند.

شرکت اف ای سی سی تی در این باره می گوید: در هر دو حمله اخیر، این ابزار RedCurl.SimpleDownloader نام داشت که در حال حاضر هنوز در حال توسعه است.

هنگام هدف قرار دادن سازمان های روسی، هکرها از نسخه اولیه این ابزار استفاده می کنند که فاقد هرگونه محافظت در برابر تجزیه و تحلیل و شناسایی بوده است.

با این حال، نسخه استفاده شده در حمله به شرکت استرالیایی شامل ویژگی‌های حفاظتی جدیدی مانند رمزگذاری رشته با استفاده از یک الگوریتم است.

شرکت اف ای سی سی تی  می گوید که ردکرل دائما در حال تکامل است و تکنیک ها و ابزارهای خود را اصلاح می کند.

به گفته محققان، هکرهای این گروه می توانند برای دوره های طولانی، بین دو تا شش ماه، قبل از سرقت داده های شرکت، ناشناس بمانند، و این حملات می تواند شامل یک زنجیره آلودگی طولانی و پیچیده باشد.

شرکت اف ای سی سی تی می گوید که هنوز مشخص نیست چه کسانی پشت این کمپین هستند و چه انگیزه ای دارند.

یان لیچکو، تحلیلگر سایبری روسی در توییتر می نویسد: ردکرل یکی از جالب‌ترین گروه‌های جرایم سایبری روسی زبان است، به‌ویژه با هدف قرار دادن نهادهای روسی و غیر روسی.