RedCurl公司间谍黑客带着更新的黑客工具返回

一个企业网络间谍黑客组织在中断七个月后重新露面，今年针对四家公司进行了新的入侵，其中包括俄罗斯最大的批发商店之一，同时对其工具集进行战术改进，试图阻止分析。

IB集团的伊万·皮萨雷夫说：“在每次攻击中，威胁参与者都展示了广泛的红队技能，以及使用自己的定制恶意软件绕过传统防病毒检测的能力。”。

至少从2018年11月起，俄语RexCurl黑客组织已经与30起袭击有关，迄今为止，公司网络间谍和文件盗窃的目标是针对14个跨越建筑、金融、咨询、零售、保险和法律部门的组织，位于英国、德国、加拿大、挪威、俄罗斯。还有乌克兰。

威胁行为人使用一系列成熟的黑客工具渗透其目标，窃取公司内部文件，如员工记录、法庭和法律文件，以及企业电子邮件历史记录，从最初感染到数据被实际窃取之间的两到六个月的时间段内，这一集体花费在任何地方。

RedCurl的操作方式与其他对手不同，尤其是因为它既不部署后门，也不依赖CobaltStrike和MeterMeter等攻击后工具，这两种工具都被视为远程控制受损设备的典型方法。更重要的是，尽管该组织保持着根深蒂固的访问权限，但没有观察到该组织进行的攻击是出于经济利益，涉及对受害者基础设施进行加密，或要求为被盗数据支付赎金。

相反，重点似乎是尽可能隐蔽地获取有价值的信息，使用自主开发的和公开可用的程序相结合，通过社会工程手段获得初始访问权，执行侦察，实现持久性，横向移动，并过滤敏感文档。

研究人员说：“网络空间的间谍活动是国家支持的高级持续威胁的一个标志。”。“在大多数情况下，此类攻击针对的是其他州或国有企业。企业网络间谍活动仍然相对罕见，在许多方面也是独一无二的。然而，该组织的成功可能会导致网络犯罪的新趋势。”