Le groupe de piratage russe appelé Redcurl a été lié à une campagne de ransomwares pour la première fois, marquant un départ dans le métier de l’acteur de menace.
L’activité, observé Par la société de cybersécurité roumaine, Bitdefender, implique le déploiement d’une souche de ransomware jamais vu auparavant baptisé QWCrypt.
Redcurl, également appelé Earth Kapre et Red Wolf, a une histoire d’orchestration d’attaques d’espionnage d’entreprise destinées à diverses entités au Canada, en Allemagne, en Norvège, en Russie, en Slovénie, en Ukraine, au Royaume-Uni et aux États-Unis. Il est connu pour être actif depuis au moins novembre 2018.
Chaînes d’attaque documenté En groupe, IB en 2020 impliquait l’utilisation d’e-mails de phission de lance portant des leurres sur le thème des ressources humaines (RH) pour activer le processus de déploiement des logiciels malveillants. Plus tôt en janvier, Huntress détaillé Des attaques lancées par l’acteur de menace ciblant plusieurs organisations au Canada pour déployer un chargeur surnommé Redloader avec des “capacités de porte dérobée simples”.
Puis le mois dernier, la société canadienne de cybersécurité Esesentire révélé L’utilisation par Redcurl des pièces jointes PDF par Spam se faisant passer pour des CV et des lettres de motivation dans des messages de phishing pour mettre à côté le logiciel malveillant du chargeur à l’aide de l’exécutable Adobe légitime “AdnotificationManager.exe”.
La séquence d’attaque détaillée par BitDefender retrace les mêmes étapes, en utilisant des fichiers d’image de disque monable (ISO) déguisés en CVS pour initier une procédure d’infection en plusieurs étapes. Présente dans l’image du disque se trouve un fichier qui imite un économiseur d’écran Windows (SCR) mais, en réalité, est le binaire AdnotificationManager.exe qui est utilisé pour exécuter le chargeur (“NetUtils.dll”) en utilisant le chargement latéral DLL.
“Après l’exécution, le netutils.dll lance immédiatement un appel ShellexEcutea avec le verbe ouvert, dirigeant le navigateur de la victime à https://secure.indeed.com/auth”, a déclaré Martin Zugec, directeur des solutions techniques à Bitdefender, dans un rapport partagé avec The Hacker News.
“Cela affiche une page de connexion légitime en effet, une distraction calculée conçue pour induire la victime en erreur en pensant qu’elle ouvre simplement un CV. Cette tactique d’ingénierie sociale fournit une fenêtre pour que les logiciels malveillants fonctionnent non détectés.”
![]() |
| Source de l’image: Esesentire |
Le chargeur, par bitdefender, agit également comme téléchargeur pour une DLL de porte dérobée à la prochaine étape, tout en établissant de la persistance sur l’hôte au moyen d’une tâche planifiée. La DLL nouvellement récupérée est ensuite exécutée à l’aide de l’assistant de compatibilité du programme (Pcalua.exe), une technique détaillée par Trend Micro en mars 2024.
L’accès accordé par l’implant ouvre la voie à un mouvement latéral, permettant à l’acteur de menace de naviguer dans le réseau, de recueillir des renseignements et de dégénérer davantage leur accès. Mais dans ce qui semble être un pivot majeur de leur modus operandi établi, une de ces attaques a également conduit au déploiement de ransomwares pour la première fois.
“Ce ciblage ciblé peut être interprété comme une tentative d’infliger un maximum de dégâts avec un minimum d’effort”, a déclaré Zugec. “En cryptant les machines virtuelles hébergées sur les hyperviseurs, ce qui les rend inoverables, Redcurl désactive efficacement toute l’infrastructure virtualisée, impactant tous les services hébergés.”
L’exécutable Ransomware, en plus de l’utilisation de la technique Bring Your Own Vulnerable Driver (BYOVD) pour désactiver le logiciel de sécurité des points de terminaison, prend des mesures pour recueillir des informations système avant de lancer la routine de cryptage. De plus, la note de rançon supprimée après le cryptage semble être inspirée par les groupes Lockbit, Hardbit et Mimic.
“Cette pratique de réutilisation du texte de la note de rançon existante soulève des questions sur les origines et les motivations du groupe Redcurl”, a déclaré Zugec. “Notamment, aucun site de fuite dédié (DLS) connu n’est associé à ce ransomware, et il n’est pas clair si la note de rançon représente une véritable tentative d’extorsion ou une diversion.”




