【安全资讯】RedCurl网络间谍创建勒索软件以加密Hyper-V服务器

概要：

网络间谍组织RedCurl自2018年以来以隐秘的企业间谍活动而闻名，近期开始使用针对Hyper-V虚拟机的勒索软件进行攻击。这一转变标志着其战术的重大演变，可能对全球企业构成新的威胁。

主要内容：

RedCurl在其最新的攻击中，首次部署了名为QWCrypt的勒索软件，专门针对Hyper-V虚拟机。根据Bitdefender的报告，RedCurl在以往的活动中主要专注于数据外泄，但此次却打破常规，开始使用勒索软件。攻击通常通过伪装成简历的钓鱼邮件传播，附件为IMG文件，这些文件在双击后会被Windows自动挂载，进而利用DLL侧载漏洞下载恶意负载。

QWCrypt的攻击机制相对复杂，利用了多种技术手段以保持隐蔽性。攻击者使用自定义的wmiexec变体在网络中横向传播，并通过工具Chisel实现隧道和远程桌面访问。在部署勒索软件之前，攻击者会使用加密的7z档案和多阶段的PowerShell过程来关闭防御措施。QWCrypt支持多种命令行参数，允许攻击者根据需要定制加密过程。

在加密文件时，QWCrypt使用XChaCha20-Poly1305加密算法，并为加密文件添加特定扩展名。勒索通知文件名为"!!!how_to_unlock_randombits_files.txt$"，内容混合了多种勒索软件的文本，显示出RedCurl在勒索策略上的灵活性。Bitdefender提出了两种可能的动机，认为RedCurl可能在进行经济驱动的攻击时，仍然保持其间谍活动的本质，或是将勒索作为掩护以掩盖数据盗窃的行为。这一新动态引发了对RedCurl未来活动的广泛关注。