一個企業(yè)網(wǎng)絡(luò)間諜黑客組織在中斷?7?個月后重新浮出水面，今年針對四家公司發(fā)起了新的入侵，其中包括俄羅斯最大的批發(fā)商店之一，同時對其工具集進行戰(zhàn)術(shù)改進以試圖阻止分析。

Group-IB?的?Ivan Pisarev說： “在每次攻擊中，威脅行為者都展示了廣泛的紅隊技能以及使用他們自己的自定義惡意軟件繞過傳統(tǒng)防病毒檢測的能力?！?/p>

至少自?2018?年?11?月以來，俄國RedCurl?黑客組織已與?30?起攻擊有關(guān)，其目標(biāo)是針對于英國、德國、加拿大、挪威、俄羅斯和烏克蘭企業(yè)的建筑、金融、咨詢、零售、保險和法律等14個部門，進行網(wǎng)絡(luò)間諜和文件盜竊。

威脅行為者使用一系列成熟的黑客工具來滲透其目標(biāo)并竊取公司內(nèi)部文件，例如員工記錄、法庭和法律文件以及企業(yè)電子郵件歷史記錄，從最初感染到病毒感染之間，數(shù)據(jù)被竊取時間從兩到六個月不等。

RedCurl?的作案手法標(biāo)志著與其他對手的不同，尤其是因為它不部署后門，也不依賴?CobaltStrike?和?Meterpreter?等開發(fā)工具，這兩種工具都被視為遠程控制受感染設(shè)備的典型方法。更重要的是，盡管保持了訪問權(quán)限，但尚未觀察到該組織進行了以經(jīng)濟利益為動機的攻擊，涉及加密受害者基礎(chǔ)設(shè)施，或要求為被盜數(shù)據(jù)索取贖金。

相反，重點似乎是使用自行開發(fā)和公開可用程序的組合來盡可能隱蔽地獲取有價值的信息，以便使用社會工程手段獲得初始訪問權(quán)限、執(zhí)行偵察、實現(xiàn)持久性、橫向移動和泄露敏感文檔。

“網(wǎng)絡(luò)空間的間諜活動是國家支持的高級持續(xù)威脅的標(biāo)志，”研究人員說，“在大多數(shù)情況下，此類攻擊針對的是其他國家或國有企業(yè)。企業(yè)網(wǎng)絡(luò)間諜活動仍然相對罕見，并且在許多方面都是獨一無二的。但是，該組織的成功可能會導(dǎo)致網(wǎng)絡(luò)犯罪的新趨勢。”

原文轉(zhuǎn)自thehackernews，作者Ravie Lakshmanan，超級科技譯，合作站點轉(zhuǎn)載請注明出處和原文譯者為超級科技！

Hi，我是超級科技

超級科技是信息安全專家，能無上限防御DDos攻擊和CC攻擊，阿里云戰(zhàn)略合作伙伴！