发现RedCurl在针对性虚拟机管理程序攻击中使用的新型QWCrypt勒索软件。本文详细介绍了他们的策略，包括DLL侧载和LOTL滥用，并探讨了该组织不断发展的网络犯罪活动。

Bitdefender Labs披露了长期存在的网络威胁组织RedCurl的运营策略转变。该组织也被称为Earth Kapre或Red Wolf，历来保持低调，主要依靠秘密数据泄露。现在它与一场新型勒索软件活动有关，标志着他们的活动发生了巨大变化。这种被称为QWCrypt的新勒索软件毒株针对虚拟机管理程序，有效地破坏基础设施，同时保持隐秘的存在。

报告指出：“这种新的勒索软件……以前没有记录过，与已知的勒索软件家族不同。”

这一发现促使人们重新评估RedCurl的运营模式，该模式自2018年出现以来一直令人费解。该组织的目标定位模式进一步使其分类变得复杂。

虽然遥测数据显示受害者主要在美国，德国、西班牙和墨西哥也有其他目标，但其他研究人员报告称目标在俄罗斯，这种广泛的地理范围对于受国家支持的参与者来说并不常见。RedCurl出售被盗数据（勒索软件操作中常见的做法）的历史证据不足，这增加了谜团。

该组织使用了复杂的技术，包括DLL侧载和滥用Living-off-the-Land(LOTL)策略，同时避免使用公共泄密网站，这与典型的勒索软件操作截然不同。

RedCurl在部署勒索软件时使用的初始访问载体与之前的活动保持一致：包含伪装成简历文档的IMG文件的网络钓鱼电子邮件。这些文件在打开时会执行恶意屏幕保护程序文件，进而加载恶意DLL。然后，该DLL会下载最终的有效负载，使用加密字符串和合法的Windows工具来逃避检测。

一旦进入网络，RedCurl就会采用横向移动技术，利用WMI和其他内置Windows工具来收集情报并升级访问权限。该组织使用经过修改的wmiexec工具（可绕过SMB连接）和Chisel（一种TCP/UDP隧道工具），凸显了其复杂的方法。

勒索软件部署本身具有很强的针对性。RedCurl使用批处理文件禁用端点安全并启动勒索软件的GO可执行文件rbcw.exe，后者使用XChaCha20-Poly1305加密技术加密虚拟机并排除网络网关。

该文件还包含一个用于识别受害者的硬编码个人ID。研究人员声称，赎金记录并非原创，而是其他勒索软件团体的部分内容的汇编。此外，没有专门的数据泄露网站，这进一步加深了对RedCurl动机的理解。

Bitdefender提出了两种可能的假设来解释RedCurl的异常行为。第一种假设认为他们可能是“雇佣枪手”网络雇佣兵，这解释了他们多样化的受害者群体和不一致的行动模式。

第二种假设认为，RedCurl优先考虑与受害者进行谨慎、直接的谈判，避免引起公众注意，以保持长期、低调的行动。该组织在维护网络网关的同时瞄准虚拟机管理程序，这表明他们试图限制破坏并将攻击限制在 IT 部门，这支持了这一理论。

总之，Bitdefender建议采用多层防御策略，增强检测和响应能力，并重点预防LOTL攻击，以减轻RedCurl等组织带来的风险。他们还强调了数据保护、弹性和高级威胁情报的重要性。