RedCurl

OrigemRússia

Técnicas (MITRE ATT&CK)41

FonteMITRE ATT&CK

Análise Vexday

RedCurl é um grupo APT de origem russa, ativo desde 2018 e identificado no MITRE ATT&CK como G1039, com 41 técnicas documentadas. O grupo é notório por operações de espionagem corporativa direcionadas a diferentes países — incluindo Ucrânia, Canadá e Reino Unido — e a setores variados, como agências de viagem, seguradoras e bancos. As operações geralmente se iniciam com e-mails de spearphishing para obter acesso inicial, seguidos pela execução de comandos e scripts de descoberta e coleta de dados corporativos, encerrando-se com a exfiltração de arquivos para servidores de comando e controle (C2).

Técnicas (MITRE ATT&CK) 41

Como o grupo opera, mapeado pela matriz MITRE ATT&CK e organizado pelas fases de um ataque.

Preparação de recursos

Malware

Acesso inicial

Trusted Relationship Spearphishing Attachment Spearphishing Link

Execução

Scheduled Task PowerShell Windows Command Shell Visual Basic Python Malicious Link Malicious File

Persistência

Registry Run Keys / Startup Folder

Acesso a credenciais

LSASS Memory Credentials In Files Credentials in Registry Credentials from Web Browsers

Descoberta

Network Service Discovery System Information Discovery File and Directory Discovery Local Account Domain Account Email Account

Movimento lateral

Taint Shared Content

Coleta

Data from Local System Data from Network Shared Drive GUI Input Capture Local Email Collection Automated Collection Archive via Utility

Comando e controle

Web Protocols Web Service Symmetric Cryptography Asymmetric Cryptography

Exfiltração

Automated Exfiltration Transfer Data to Cloud Account

stealth

Obfuscated Files or Information Match Legitimate Resource Name or Location File Deletion Indirect Command Execution Rundll32 Hidden Files and Directories

Vulnerabilidades exploradas

Nenhuma CVE atribuída a este grupo nas fontes públicas (MITRE ATT&CK). Ausência de atribuição não significa ausência de atividade.

O grupo RedCurl usa técnicas e explora falhas reais. O Pentest Autônomo com IA da TrueHacking simula esses ataques na sua infraestrutura e traz mais segurança para sua aplicação.

Conhecer o Pentest Autônomo com IA →