تاريخ مجموعة RedCurl

نشاط التجسس السابق
– يُعرف عن مجموعة RedCurl، المعروفة أيضًا بأسماء Earth Kapre و Red Wolf ، تنفيذها لهجمات تجسس تستهدف كيانات متعددة في دول مثل:
– كندا، ألمانيا، النرويج، روسيا، سلوفينيا، أوكرانيا، المملكة المتحدة، والولايات المتحدة.
– تنشط المجموعة منذ نوفمبر 2018 على الأقل، مستهدفة الشركات للحصول على بيانات حساسة.

أساليب الهجوم السابقة
– في 2020، استخدمت المجموعة رسائل تصيدية تحمل طابع “الموارد البشرية” لنشر البرمجيات الضارة.
– في يناير الماضي، استهدفت هجمات المجموعة شركات في كندا عبر برمجية تحميل تُعرف بـ RedLoader ، التي توفر قدرات أولية للبرمجيات الخلفية.
– في فبراير الماضي، كشفت شركة eSentire الكندية استخدام RedCurl مرفقات PDF مشبوهة متخفية كـ سير ذاتية ورسائل تغطية لتشغيل برمجيات ضارة باستخدام ملف ADNotificationManager.exe .

تفاصيل الهجوم باستخدام QWCrypt

خطوات الإصابة
– يتم توزيع الملفات عبر صور قرص قابلة للتثبيت (ISO) مموهة لتبدو كسير ذاتية.
– تحتوي الصور على ملف يشبه شاشات التوقف لنظام Windows (SCR)، وهو في الواقع ملف ADNotificationManager.exe الذي يستخدم لتشغيل برمجيات تحميل عبر تقنية DLL Side-Loading .

*تكتيكات الهندسة الاجتماعية *
– عند التنفيذ، يتم توجيه المستخدمين إلى صفحة تسجيل دخول حقيقية لموقع Indeed كوسيلة لتشتيت الانتباه، مما يمنح البرمجيات الخبيثة فرصة للعمل دون اكتشاف.

تحول جديد نحو الهجمات بالفدية

الآلية الهجومية
– تعمل البرمجيات على تحميل برمجية خلفية عبر netutils.dll وتثبيت مهام مجدولة لضمان الاستمرارية على الأجهزة المصابة.
– الهجوم يشمل تشفير الأجهزة الافتراضية المستضافة على أنظمة التحكم الافتراضية Hypervisors ، مما يعطل البنية التحتية الافتراضية بالكامل.

خصائص برمجية الفدية QWCrypt
– تتضمن البرمجية تقنية BYOVD لإيقاف برامج الحماية.
– تجمع معلومات النظام قبل البدء في عملية التشفير، وتُظهر ملاحظات فدية مستوحاة من مجموعات مثل LockBit و HardBit و Mimic .

التساؤلات حول الدوافع

– تُثير إعادة استخدام نصوص ملاحظات فدية قائمة تساؤلات حول دوافع وأصول مجموعة RedCurl.
– حتى الآن، لا يُعرف عن وجود موقع تسريب مخصص لهذه البرمجية، مما يجعل هدف الفدية غير واضح: هل هو ابتزاز حقيقي أم محاولة للتشتيت؟