長期間潜伏するRedCurl

RedCurlは企業スパイのグループです。
いくつのもの国の企業をターゲットとしています。
中でも被害を受けた企業の数が一番多いのはロシアです。
2018年以降このグループの活動が観測されていますが、確認されているロシアの被害を受けた企業は18社に上ります。

このグループは、企業のデータを盗み出します。
盗むための準備を進める期間が非常に長く、2か月から6か月にもなります。

このグループが使用する攻撃ツールが以前よりも拡張されてきています。
以前は最初のDropperから数えて3段階や4段階で攻撃を実施していたことが確認されているのですが、最近の攻撃の状況を確認すると5つの段階で攻撃を行っていることが確認されています。
このように攻撃の段階を分割することにより、これまで以上に発見することが難しい動きをするようになっています。
最近被害を受けたロシア企業への攻撃においても、この新しい攻撃ツールが使用されており、そのときのアンチウイルスソフトウェアではこの攻撃ツールの横移動を検出できませんでした。

このようなタイプの脅威が増えてきていますので、脅威への対策を考える場合に、アンチウイルスの仕組みのみに頼るということでは十分でなくなっているのかもしれません。
何らかの別の仕組みで、社内での通常ではない動きが存在しているかを継続的に監視することが必要になってきているように思えます。

参考記事（外部リンク）：RedCurl corporate espionage hackers resume attacks with
updated tools
www.bleepingcomputer.com/news/security/redcurl-corporate-espionage-hackers-resume-attacks-with-updated-tools/