Il gruppo di cybercriminalità di lingua russa noto come RedCurl sta utilizzando una legittima componente di Microsoft Windows, il Program Compatibility Assistant (PCA), per eseguire comandi dannosi. Il PCA, originariamente progettato per identificare e risolvere problemi di compatibilità con programmi più vecchi, è ora sfruttato da RedCurl come un interprete alternativo della riga di comando per eludere le restrizioni di sicurezza e mascherare le attività illecite.
Minaccia persistente di RedCurl
RedCurl, attivo almeno dal 2018 e noto anche come Earth Kapre e Red Wolf, si è specializzato negli attacchi di spionaggio aziendale contro entità in Australia, Canada, Germania, Russia, Slovenia, Regno Unito, Ucraina e Stati Uniti. Nel 2023, si è scoperto che un importante istituto bancario russo e un’azienda australiana sono stati presi di mira per rubare segreti aziendali e informazioni sui dipendenti.
La catena di attacco analizzata da Trend Micro implica l’uso di email di phishing con allegati malevoli per innescare un processo multistadio che inizia con il download di uno strumento legittimo, curl, da un server remoto. Questo strumento viene poi utilizzato per consegnare un loader dannoso, che a sua volta sfrutta il PCA per avviare un processo di download e stabilire una connessione con il dominio per recuperare il loader.
Tattiche avanzate di evasione
RedCurl abusa di PowerShell, curl e PCA per eseguire comandi malevoli, dimostrando un impegno nell’eludere la rilevazione all’interno delle reti target. Le connessioni con Earth Kapre emergono da sovrapposizioni nell’infrastruttura di comando e controllo e similitudini con artefatti downloader noti utilizzati dal gruppo.
Questa situazione sottolinea la minaccia attiva e continua rappresentata da Earth Kapre, che impiega tattiche sofisticate e punta a una gamma diversificata di industrie in più paesi.
