Nhóm tội phạm mạng nói tiếng Nga có tên RedCurl đang tận dụng một thành phần Microsoft Windows hợp pháp được gọi là Program Compatibility Assistant (PCA) để thực thi các lệnh độc hại.
"Dịch vụ hỗ trợ tương thích chương trình (pcalua.exe) là một dịch vụ Windows được thiết kế để xác định và giải quyết các vấn đề tương thích với các chương trình cũ hơn", Trend Micro cho biết trong một phân tích được công bố trong tháng này.
"Đối thủ có thể khai thác tiện ích này để cho phép thực thi lệnh và vượt qua các hạn chế bảo mật bằng cách sử dụng nó như một trình thông dịch dòng lệnh thay thế. Trong cuộc điều tra này, tác nhân đe dọa sử dụng công cụ này để che giấu các hoạt động của họ".
RedCurl, còn được gọi là Earth Kapre và Red Wolf, được biết là đã hoạt động ít nhất từ năm 2018, dàn dựng các cuộc tấn công gián điệp mạng của công ty chống lại các thực thể ở Úc, Canada, Đức, Nga, Slovenia, Anh, Ukraine và Hoa Kỳ.
Vào tháng 7/2023, F.A.C.C.T. tiết lộ rằng một ngân hàng lớn của Nga và một công ty Úc đã bị tác nhân đe dọa nhắm mục tiêu vào tháng 11/2022 và tháng 5/2023 để đánh cắp bí mật bí mật của công ty và thông tin nhân viên.
Chuỗi tấn công được kiểm tra bởi Trend Micro đòi hỏi phải sử dụng các email lừa đảo có chứa các tệp đính kèm độc hại (. ISO và . IMG) để kích hoạt quy trình nhiều giai đoạn bắt đầu bằng việc sử dụng cmd.exe để tải xuống một tiện ích hợp pháp có tên curl từ máy chủ từ xa, sau đó hoạt động như một kênh để cung cấp trình tải (ms.dll hoặc ps.dll).
Đổi lại, tệp DLL độc hại tận dụng PCA để tạo ra một quá trình tải xuống đảm nhận việc thiết lập kết nối với cùng một miền được curl sử dụng để tìm nạp trình tải.
Cũng được sử dụng trong cuộc tấn công là việc sử dụng phần mềm mã nguồn mở Impacket để thực thi lệnh trái phép.
Các kết nối với Earth Kapre xuất phát từ sự chồng chéo trong cơ sở hạ tầng chỉ huy và kiểm soát (C2) cũng như những điểm tương đồng với các tạo tác tải xuống đã biết được nhóm sử dụng.
"Trường hợp này nhấn mạnh mối đe dọa đang diễn ra và tích cực gây ra bởi Earth Kapre, một tác nhân đe dọa nhắm vào một loạt các ngành công nghiệp trên nhiều quốc gia", Trend Micro cho biết.
"sử dụng các chiến thuật tinh vi, chẳng hạn như lạm dụng PowerShell, curl và Program Compatibility Assistant (pcalua.exe) để thực hiện các lệnh độc hại, thể hiện sự cống hiến của mình để tránh bị phát hiện trong các mạng được nhắm mục tiêu."
Sự phát triển này diễn ra khi nhóm quốc gia Nga được gọi là Turla (hay còn gọi là Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos, Venomous Bear và Waterbug) đã bắt đầu sử dụng một DLL bao bọc mới có tên mã là Pelmeni để triển khai . Cửa hậu Kazuar dựa trên NET.
Pelmeni - giả mạo là các thư viện liên quan đến SkyTel, NVIDIA GeForce Experience, vncutil hoặc ASUS - được tải bằng phương tiện tải bên DLL. Một khi DLL giả mạo này được gọi bởi phần mềm hợp pháp được cài đặt trên máy, nó sẽ giải mã và khởi chạy Kazuar, Lab52 cho biết.