加拿大组织已成为一个名为STAC6565的威胁活动集群策划的针对性网络攻击行动的焦点。

网络安全公司Sophos表示，其在2024年2月至2025年8月期间调查了与该威胁行为者相关的近40起入侵事件。该攻击行动被高度确信与一个名为Gold Blade的黑客组织存在重叠，该组织也被追踪为Earth Kapre、RedCurl和Red Wolf。

这个出于经济动机的威胁行为者据信自2018年底开始活跃，最初针对俄罗斯的实体，随后将其目标扩展到加拿大、德国、挪威、俄罗斯、斯洛文尼亚、乌克兰、英国和美国的实体。该组织有使用网络钓鱼邮件进行商业间谍活动的历史。

然而，最近的攻击浪潮发现RedCurl参与了使用一种名为QWCrypt的定制恶意软件家族进行的勒索软件攻击。该威胁行为者武器库中的一个显著工具是RedLoader，它将被感染主机的信息发送到命令与控制服务器，并执行PowerShell脚本来收集与受攻击的Active Directory环境相关的详细信息。

Sophos研究员Morgan Demboski表示：“这次攻击行动反映了该组织异常狭窄的地理关注点，近80%的攻击针对加拿大组织。曾经主要专注于网络间谍活动的Gold Blade，已将其活动演变为混合操作，通过一个名为QWCrypt的自定义加密程序，将数据盗窃与有选择的勒索软件部署结合起来。”

其他主要目标包括美国、澳大利亚和英国，在此期间，服务、制造、零售、技术、非政府组织和交通行业受到的影响最为严重。

据悉，该组织以“黑客雇佣兵”模式运作，代表客户进行定制化入侵，同时附带部署勒索软件以从入侵中获利。尽管Group-IB在2020年的一份报告提出了该组织可能是俄语组织的可能性，但目前没有迹象可以证实或否认这一评估。

Sophos将RedCurl描述为一个“专业化的行动”，称该威胁行为者因其完善和发展其攻击手法以及发起隐蔽勒索攻击的能力而与其他网络犯罪集团不同。也就是说，没有证据表明它是国家资助或有政治动机的。

该网络安全公司还指出，其行动节奏以一段时间的无活动为标志，随后是使用改进战术的突然攻击激增，这表明该黑客组织可能正在利用停工期来更新其工具集。

STAC6565始于针对人力资源人员的鱼叉式网络钓鱼电子邮件，诱骗他们打开伪装成简历或求职信的恶意文档。至少从2024年11月起，该活动就利用Indeed、JazzHR和ADP WorkforceNow等合法求职平台上传武器化的简历，作为求职申请过程的一部分。

Demboski解释说：“由于招聘平台使人力资源人员能够查看所有收到的简历，将有效载荷托管在这些平台上并通过一次性电子邮件域发送，不仅增加了文档被打开的可能性，而且还逃避了基于电子邮件的保护措施的检测。”

在一个事件中，发现上传到Indeed的一份虚假简历会将用户重定向到一个设有陷阱的URL，最终通过RedLoader链导致部署QWCrypt勒索软件。在2024年9月、2025年3月/4月和2025年7月，至少观察到了三种不同的RedLoader投递序列。投递链的某些方面此前已由Huntress、eSentire和Bitdefender详细描述过。

2025年7月观察到的主要变化涉及使用由虚假简历投放的ZIP存档。存档中存在一个冒充PDF的Windows快捷方式文件。该LNK文件使用“rundll32.exe”从托管在Cloudflare Workers域名后的WebDAV服务器获取重命名版本的“ADNotificationManager.exe”。

然后，攻击启动合法的Adobe可执行文件，从同一WebDAV路径侧加载RedLoader DLL。该DLL继续连接到外部服务器以下载并执行第二阶段有效载荷，这是一个独立的二进制文件，负责连接到不同的服务器，并检索第三阶段独立可执行文件以及一个恶意的DAT文件和一个重命名的7-Zip文件。

两个阶段都依赖微软的程序兼容性助手来执行有效载荷，这种方法在以前的攻击活动中也出现过。唯一的区别是，有效载荷的格式在2025年4月转变为EXE文件，而不是DLL文件。

Sophos表示：“该有效载荷解析恶意的.dat文件并检查互联网连接。然后它连接到另一个攻击者控制的C2服务器，创建并运行一个自动化系统发现的.bat脚本。该脚本解压Sysinternals AD Explorer并运行命令以收集主机信息、磁盘、进程和已安装的防病毒产品等详细信息。”

执行结果被打包成一个加密的、受密码保护的7-Zip存档，并传输到攻击者控制的WebDAV服务器。还观察到RedCurl使用开源反向代理RPivot和Chisel SOCKS5进行C2通信。

攻击中使用的另一个工具是Terminator工具的定制版本，该工具利用签名的Zemana AntiMalware驱动程序，通过所谓的自带易受攻击驱动程序攻击来结束与防病毒相关的进程。至少在2025年4月的一个案例中，威胁行为者在通过SMB共享将其分发到受害者环境中的所有服务器之前，对这两个组件都进行了重命名。

Sophos还指出，大多数这些攻击在安装QWCrypt之前就被检测到并得以缓解。然而，其中三起攻击——一起在4月，两起在2025年7月——导致了成功的部署。

它补充道：“在4月的事件中，威胁行为者手动浏览并收集了敏感文件，然后暂停活动超过五天，才部署加密程序。这种延迟可能表明攻击者在试图将数据货币化或未能找到买家后转向了勒索软件。”

QWCrypt部署脚本针对目标环境进行了定制，通常在文件名中包含特定于受害者的ID。该脚本一旦启动，会检查Terminator服务是否正在运行，然后采取措施禁用恢复功能，并在网络中的终端设备（包括组织的虚拟机管理程序）上执行勒索软件。

在最后阶段，该脚本运行一个清理批处理脚本，删除现有的卷影副本和每个PowerShell控制台历史文件，以阻碍取证恢复。

Sophos表示：“Gold Blade对招聘平台的滥用、休眠与爆发的周期循环以及对投递方法的持续完善，展示了一种通常不与经济动机行为者相关的操作成熟度。该组织维护着一个全面且组织良好的攻击工具包，包括开源工具的修改版本和自定义二进制文件，以促进多阶段恶意软件投递链。”

此次披露之际，Huntress表示，它注意到针对虚拟机管理程序的勒索软件攻击大幅激增，从今年上半年的3%跃升至下半年迄今为止的25%，这主要是由Akira组织推动的。

研究人员Anna Pham、Ben Bernstein和Dray Agha写道：“勒索软件操作者直接通过虚拟机管理程序部署勒索软件有效载荷，完全绕过了传统的终端保护。在某些情况下，攻击者利用OpenSSL等内置工具对虚拟机卷进行加密，避免了上传自定义勒索软件二进制文件的需要。这种转变突显了一个日益增长且令人不安的趋势：攻击者正在瞄准控制所有主机的基础设施，并且通过访问虚拟机管理程序，对手极大地放大了其入侵的影响。”

鉴于威胁行为者对虚拟机管理程序的关注度提高，建议使用本地ESXi账户，实施多因素身份验证，执行强密码策略，将虚拟机管理程序的管理网络与生产和普通用户网络隔离，部署跳板机以审核管理员访问权限，限制对控制平面的访问，并将ESXi管理接口访问限制在特定的管理设备上。

...