FACCT 威胁情报团队的网络安全研究人员 最近发现了 黑客组织 RedCurl 发起的一项新的恶意活动，目标是澳大利亚、新加坡和香港的组织。这些袭击影响了建筑、物流、航空运输和采矿业。

RedCurl 组织自 2018 年以来一直活跃，并于 2019 年首次被发现，专门从事网络间谍活动。攻击者使用独特的工具窃取商业信函、员工的个人数据和法律文件。

从最初感染目标网络到实际窃取数据，通常需要两到六个月的时间，因为黑客会仔细计划他们的所有行动。

对 RedCurl 活动的分析表明，该集团继续扩大其业务范围。在这40起成功的攻击中，只有一半发生在俄罗斯和独联体国家，其余则发生在英国、德国、加拿大和挪威。

在 2023 年末的攻击中，该组织继续使用带有 SVG 或 RAR 文件附件的电子邮件进行初始感染。这些文件通常伪装成亚马逊和三星等知名公司的官方文档，并包含下载恶意代码的机制。

RedCurl 使用复杂的机制来加强其在受害者系统上的存在，包括通过在 Windows 计划程序中创建计划任务。攻击的下一阶段包括收集有关系统的信息并将其发送到黑客的 C2 服务器。

研究人员还发现了成功攻击的例子，攻击者能够从澳大利亚公司窃取 Active Directory 数据库快照。

近期RedCurl攻击的感染链（FACCT提供）

文章原文链接:https://www.anquanke.com/post/id/293185