.jpg)
Русскоязычная киберпреступная группа под названием RedCurl использует законный компонент Microsoft Windows под названием Program Compatibility Assistant (PCA) для выполнения вредоносных команд.
"Служба помощника по совместимости программ (pcalua.exe) - это служба Windows, предназначенная для выявления и устранения проблем совместимости со старыми программами", - сказал Trend Micro в анализе, опубликованном в этом месяце.
"Злоумышленники могут использовать эту утилиту для включения выполнения команд и обхода ограничений безопасности, используя ее в качестве альтернативного интерпретатора командной строки. В данном расследовании субъект угрозы использует этот инструмент для сокрытия своей деятельности".
Известно, что RedCurl, который также называется Earth Kapre и Red Wolf, активен как минимум с 2018 года, организуя корпоративные кибершпионажные атаки против организаций, расположенных в Австралии, Канаде, Германии, России, Словении, Великобритании, Украине и США.
В июле 2023 года F.A.C.C.T. раскрыла, что крупный российский банк и австралийская компания были мишенью злоумышленника в ноябре 2022 и мае 2023 года с целью кражи конфиденциальных корпоративных секретов и информации о сотрудниках.
Цепочка атак, изученная Trend Micro, предполагает использование фишинговых электронных писем, содержащих вредоносные вложения (.ISO и .Файлы IMG) для активации многоступенчатого процесса, который начинается с использования cmd.exe для загрузки законной утилиты под названием curl с удаленного сервера, который затем действует как канал для доставки загрузчика (ms.dll или ps.dll).
Вредоносный DLL-файл, в свою очередь, использует PCA для запуска процесса загрузки, который заботится об установлении соединения с тем же доменом, который используется curl для получения загрузчика.
Также в атаке использовалось программное обеспечение с открытым исходным кодом Impacket для несанкционированного выполнения команд.
Подключения к Earth Kapre обусловлены дублированием инфраструктуры командования и контроля (C2), а также сходством с известными артефактами загрузчика, используемыми группой.
"Этот случай подчеркивает постоянную и активную угрозу, исходящую от Earth Kapre, субъекта угроз, нацеленного на различные отрасли промышленности во многих странах", - заявили в Trend Micro.
"Злоумышленник использует изощренные тактики, такие как злоупотребление PowerShell, curl и помощником по совместимости программ (pcalua.exe) для выполнения вредоносных команд, демонстрируя свою приверженность уклонению от обнаружения в целевых сетях ".
Разработка происходит после того, как российская национальная группа, известная как Turla (она же Iron Hunter, Задумчивая Медведица, Secret Blizzard, Snake, Uroburos, Venomous Bear и Waterbug), начала использовать новую оболочку DLL под кодовым названием Pelmeni для развертывания .СЕТЕВОЙ бэкдор Kazuar.
Pelmeni, который маскируется под библиотеки, связанные с SkyTel, NVIDIA GeForce Experience, vncutil или ASUS, загружается посредством сторонней загрузки DLL. Как только эта поддельная библиотека DLL вызывается законным программным обеспечением, установленным на компьютере, она расшифровывает и запускает Kazuar, сказал Lab52.
