RedCurl: Hacker gehen gegen Unternehmen in Großbritannien und Deutschland vor

Der Sicherheitsanbieter Group-IB warnt vor einer neuen Russisch sprechenden Hackergruppe, die sich seit rund drei Jahren auf Industriespionage spezialisiert haben soll. Die Aktivitäten der RedCurl genannten Gruppe verfolgen die Forscher bereits seit Sommer 2019. Sie machen die Cyberkriminellen für insgesamt 26 Angriffe gegen 14 Organisationen in 6 Ländern verantwortlich, darunter Deutschland.

Betroffen waren bisher Unternehmen aus den Bereichen Bau, Einzelhandel und Reisen. Es wurden aber auch Versicherungen, Banken, Anwaltskanzleien und Beratungsfirmen angegriffen, und zwar in Russland, der Ukraine, Kanada, Großbritannien, Norwegen und Deutschland. Gestohlen wurden zumeist vertrauliche Dokumente mit Geschäftsgeheimnissen, aber auch persönliche Daten von Angestellten.

Statt auf ausgefeilte Hacking-Tools setzen die Hacker der Analyse zufolge auch Spear-Phishing, um sich Zugang zu einem Netzwerk eines Opfers zu verschaffen. „Die Besonderheit von RedCurl ist, dass der E-Mail-Inhalt sorgfältig verfasst ist“, sagten die Forscher. „Zum Beispiel zeigten die E-Mails die Adresse und das Logo der Zielfirma, während die Absenderadresse den Domainnamen der Firma enthielt.“

Oftmals hätten sich die Angreifer als Mitarbeiter der Personalabteilung ausgegeben und Nachrichten an mehrere Beschäftigte eines Unternehmens verschickt. Das habe den Phishing-Angriff weniger verdächtig gemacht, vor allem, wenn die Empfänger in einer Abteilung arbeiteten.

Die E-Mails wiederum enthielten Links zu mit Malware verseuchten Dateien, die die Opfer herunterladen sollten. Wurden die Dateien tatsächlich geöffnet, setzten sie mehrerer auf PowerShell basierende Trojaner frei.

Diese Trojaner fanden die Forscher bisher nur bei RedCurl-Angriffen. Sie erlaubten es den Hackern, die befallenen Systeme zu durchsuchen und weitere Schadsoftware herunterzuladen. Der Upload von Dateien auf von den Hackern kontrollierte Server gehörte ebenfalls zum Funktionsumfang. Allerdings nutzten die Hacker dafür das nur selten eingesetzte WebDAV-Protokoll.

Darüber hinaus versuchten die Hacker, weitere Systeme im Netzwerk zu infizieren. Unter anderem ersetzten sie Dateien auf Netzwerkfreigaben durch Verknüpfungen, die zur Schadsoftware statt den eigentlichen Dateien führten. „Die Phase der Ausbreitung über das Netzwerk wird mit der Zeit deutlich verlängert, da die Gruppe bestrebt ist, so lange wie möglich unbemerkt zu bleiben und keine aktiven Trojaner einsetzt, die ihre Präsenz aufdecken könnten“, ergänzten die Forscher.