STAC6565 nhắm vào Canada khi Gold Blade triển khai phần mềm tống tiền QWCrypt

[T-X]

Các tổ chức của Canada đã trở thành tâm điểm của một chiến dịch mạng có mục tiêu được dàn dựng bởi một nhóm hoạt động đe dọa có tên là STAC6565.

Công ty an ninh mạng Sophos cho biết họ đã điều tra gần 40 vụ xâm nhập có liên quan đến tác nhân đe dọa này từ tháng 2 năm 2024 đến tháng 8 năm 2025. Chiến dịch này được đánh giá với độ tin cậy cao vì có sự trùng lặp với một nhóm tin tặc có tên là Gold Blade, cũng được theo dõi dưới các tên gọi khác là Earth Kapre, RedCurl và Red Wolf.

Nhóm này được cho là hoạt động vì động cơ tài chính từ cuối năm 2018, ban đầu nhắm vào các thực thể ở Nga, trước khi mở rộng mục tiêu sang các thực thể ở Canada, Đức, Na Uy, Nga, Slovenia, Ukraine, Vương quốc Anh và Hoa Kỳ. Nhóm này có tiền sử sử dụng email lừa đảo để thực hiện hoạt động gián điệp thương mại.

Tuy nhiên, các đợt tấn công gần đây đã phát hiện RedCurl đã tham gia vào các cuộc tấn công ransomware bằng một biến thể phần mềm độc hại được thiết kế riêng có tên là QWCrypt. Một trong những công cụ đáng chú ý trong kho vũ khí của kẻ tấn công là RedLoader, công cụ này gửi thông tin về máy chủ bị nhiễm đến máy chủ chỉ huy và kiểm soát (C2) và thực thi các tập lệnh PowerShell để thu thập thông tin chi tiết liên quan đến môi trường Active Directory (AD) bị xâm nhập.

"Chiến dịch này phản ánh trọng tâm địa lý hẹp bất thường của nhóm, với gần 80% các cuộc tấn công nhắm vào các tổ chức Canada", nhà nghiên cứu Morgan Demboski của Sophos cho biết. "Trước đây, Gold Blade chủ yếu tập trung vào hoạt động gián điệp mạng, nhưng giờ đây, hoạt động của nhóm đã phát triển thành một hoạt động lai ghép, kết hợp giữa đánh cắp dữ liệu với triển khai ransomware có chọn lọc thông qua một hệ thống khóa tùy chỉnh mang tên QWCrypt."

Các mục tiêu nổi bật khác bao gồm Hoa Kỳ, Úc và Vương quốc Anh, trong đó các ngành dịch vụ, sản xuất, bán lẻ, công nghệ, tổ chức phi chính phủ và giao thông vận tải bị ảnh hưởng nặng nề nhất trong giai đoạn này.

Nhóm này được cho là hoạt động theo mô hình "hack-for-hire", thực hiện các cuộc xâm nhập được thiết kế riêng cho khách hàng, đồng thời triển khai ransomware để kiếm tiền từ các cuộc xâm nhập. Mặc dù một báo cáo năm 2020 của Group-IB đã nêu khả năng đây là một nhóm nói tiếng Nga, nhưng hiện tại không có dấu hiệu nào để xác nhận hay phủ nhận đánh giá này.

Mô tả RedCurl là một "hoạt động chuyên nghiệp", Sophos cho biết nhóm tin tặc này khác biệt so với các nhóm tội phạm mạng khác nhờ khả năng tinh chỉnh và phát triển các thủ đoạn, cũng như thực hiện các cuộc tấn công tống tiền kín đáo. Tuy nhiên, không có bằng chứng nào cho thấy nhóm này được nhà nước bảo trợ hoặc có động cơ chính trị.

Công ty an ninh mạng cũng chỉ ra rằng nhịp độ hoạt động được đánh dấu bằng những khoảng thời gian không có hoạt động, sau đó là những đợt tấn công đột ngột với các chiến thuật được cải tiến, cho thấy nhóm tin tặc có thể đang tận dụng thời gian rảnh để làm mới bộ công cụ của mình.

STAC6565 bắt đầu bằng các email lừa đảo nhắm vào nhân viên phòng nhân sự (HR) để lừa họ mở các tài liệu độc hại được ngụy trang dưới dạng sơ yếu lý lịch hoặc thư xin việc. Ít nhất từ tháng 11 năm 2024, hoạt động này đã lợi dụng các nền tảng tìm kiếm việc làm hợp pháp như Indeed, JazzHR và ADP WorkforceNow để tải lên các sơ yếu lý lịch chứa mã độc như một phần của quy trình nộp đơn xin việc.

"Vì các nền tảng tuyển dụng cho phép nhân viên nhân sự xem xét tất cả các hồ sơ xin việc, việc lưu trữ các nội dung độc hại trên các nền tảng này và gửi chúng qua các tên miền email dùng một lần không chỉ làm tăng khả năng tài liệu sẽ bị mở mà còn tránh được sự phát hiện của các biện pháp bảo vệ dựa trên email", Demboski giải thích.

Trong một trường hợp, một bản lý lịch giả mạo được tải lên Indeed đã được phát hiện chuyển hướng người dùng đến một URL cài bẫy, cuối cùng dẫn đến việc triển khai phần mềm tống tiền QWCrypt thông qua chuỗi RedLoader. Ít nhất ba chuỗi phát tán RedLoader khác nhau đã được quan sát thấy vào tháng 9 năm 2024, tháng 3/tháng 4 năm 2025 và tháng 7 năm 2025. Một số khía cạnh của các chuỗi phát tán này đã được Huntress, eSentire và Bitdefender mô tả chi tiết trước đó.

Thay đổi lớn được ghi nhận vào tháng 7 năm 2025 liên quan đến việc sử dụng tệp lưu trữ ZIP bị lỗi trong quá trình khôi phục giả mạo. Bên trong tệp lưu trữ này có một lối tắt Windows (LNK) giả mạo tệp PDF. Tệp LNK sử dụng "rundll32.exe" để tải xuống phiên bản đã đổi tên của "ADNotificationManager.exe" từ máy chủ WebDAV được lưu trữ phía sau miền Cloudflare Workers.

Cuộc tấn công sau đó khởi chạy tệp thực thi hợp pháp của Adobe để tải DLL RedLoader (có tên "srvcli.dll" hoặc "netutils.dll") từ cùng đường dẫn WebDAV. DLL này tiếp tục kết nối với máy chủ bên ngoài để tải xuống và thực thi phần mềm độc hại giai đoạn hai, một tệp nhị phân độc lập chịu trách nhiệm kết nối với một máy chủ khác và truy xuất tệp thực thi độc lập giai đoạn ba cùng với một tệp DAT độc hại và một tệp 7-Zip đã được đổi tên.

Cả hai giai đoạn đều dựa vào Trợ lý Tương thích Chương trình của Microsoft ("pcalua.exe") để thực thi mã độc, một phương pháp đã được thấy trong các chiến dịch trước đây. Sự khác biệt duy nhất là định dạng của mã độc đã chuyển sang định dạng EXE thay vì DLL vào tháng 4 năm 2025.

"Phần mềm độc hại sẽ phân tích tệp.dat và kiểm tra kết nối internet. Sau đó, nó kết nối với máy chủ C2 khác do kẻ tấn công điều khiển để tạo và chạy một tập lệnh.bat tự động hóa quá trình phát hiện hệ thống", Sophos cho biết. "Tập lệnh này giải nén Sysinternals AD Explorer và chạy các lệnh để thu thập thông tin chi tiết như thông tin máy chủ, ổ đĩa, tiến trình và các sản phẩm chống virus (AV) đã cài đặt."

Kết quả thực thi được đóng gói vào một tệp nén 7-Zip được mã hóa, bảo vệ bằng mật khẩu và chuyển đến máy chủ WebDAV do kẻ tấn công kiểm soát. RedCurl cũng đã được quan sát thấy sử dụng RPivot, một proxy ngược mã nguồn mở, và Chisel SOCKS5 cho giao tiếp C2.

Một công cụ khác được sử dụng trong các cuộc tấn công là phiên bản tùy chỉnh của công cụ Terminator, tận dụng trình điều khiển Zemana AntiMalware đã được ký để tiêu diệt các tiến trình liên quan đến phần mềm chống vi-rút thông qua cái gọi là tấn công Bring Your Own Vulnerable Driver (BYOVD). Trong ít nhất một trường hợp vào tháng 4 năm 2025, các tác nhân đe dọa đã đổi tên cả hai thành phần trước khi phân phối chúng qua các thư mục chia sẻ SMB đến tất cả các máy chủ trong môi trường của nạn nhân.

Sophos cũng lưu ý rằng phần lớn các cuộc tấn công này đã được phát hiện và giảm thiểu trước khi cài đặt QWCrypt. Tuy nhiên, ba trong số các cuộc tấn công - một vào tháng 4 và hai vào tháng 7 năm 2025 - đã dẫn đến việc triển khai thành công.

"Trong sự cố hồi tháng Tư, kẻ tấn công đã duyệt và thu thập thủ công các tệp tin nhạy cảm, sau đó tạm dừng hoạt động trong hơn năm ngày trước khi triển khai khóa bảo mật", báo cáo cho biết thêm. "Sự chậm trễ này có thể cho thấy kẻ tấn công đã chuyển sang ransomware sau khi cố gắng kiếm tiền từ dữ liệu hoặc không tìm được người mua."

Các tập lệnh triển khai QWCrypt được thiết kế riêng cho môi trường mục tiêu, thường chứa ID cụ thể của nạn nhân trong tên tệp. Sau khi khởi chạy, tập lệnh sẽ kiểm tra xem dịch vụ Terminator có đang chạy hay không trước khi thực hiện các bước để vô hiệu hóa chức năng khôi phục và thực thi mã độc tống tiền trên các thiết bị đầu cuối trên toàn mạng, bao gồm cả các trình quản lý siêu giám sát của tổ chức.

Ở giai đoạn cuối, tập lệnh sẽ chạy một tập lệnh dọn dẹp hàng loạt để xóa các bản sao bóng hiện có và mọi tệp lịch sử bảng điều khiển PowerShell để ngăn chặn quá trình phục hồi pháp y.

Sophos cho biết: "Việc Gold Blade lạm dụng các nền tảng tuyển dụng, các chu kỳ ngủ đông và bùng phát, cùng với việc liên tục tinh chỉnh các phương pháp phân phối cho thấy mức độ trưởng thành về mặt hoạt động mà thường không thấy ở các nhóm tội phạm có động cơ tài chính. Nhóm này duy trì một bộ công cụ tấn công toàn diện và được tổ chức tốt, bao gồm các phiên bản sửa đổi của các công cụ mã nguồn mở và các tệp nhị phân tùy chỉnh để tạo điều kiện thuận lợi cho chuỗi phân phối phần mềm độc hại nhiều giai đoạn."

Tiết lộ này được đưa ra khi Huntress cho biết họ nhận thấy sự gia tăng đột biến các cuộc tấn công ransomware vào chương trình quản lý siêu giám sát, tăng từ 3% trong nửa đầu năm lên 25% trong nửa cuối năm nay, chủ yếu do nhóm Akira thực hiện.

"Các nhà điều hành ransomware triển khai payload ransomware trực tiếp thông qua trình quản lý ảo hóa, hoàn toàn bỏ qua các biện pháp bảo vệ điểm cuối truyền thống. Trong một số trường hợp, kẻ tấn công sử dụng các công cụ tích hợp như OpenSSL để mã hóa ổ đĩa máy ảo, tránh phải tải lên các tệp nhị phân ransomware tùy chỉnh", các nhà nghiên cứu Anna Pham, Ben Bernstein và Dray Agha viết.

"Sự thay đổi này nhấn mạnh một xu hướng ngày càng gia tăng và khó chịu: kẻ tấn công đang nhắm vào cơ sở hạ tầng kiểm soát tất cả các máy chủ và với quyền truy cập vào trình quản lý siêu giám sát, kẻ tấn công sẽ khuếch đại đáng kể tác động của cuộc xâm nhập."

Do các tác nhân đe dọa ngày càng chú trọng vào trình quản lý ảo hóa, bạn nên sử dụng tài khoản ESXi cục bộ, thực thi xác thực đa yếu tố (MFA), triển khai chính sách mật khẩu mạnh, tách biệt mạng quản lý của trình quản lý ảo hóa khỏi mạng sản xuất và mạng người dùng chung, triển khai hộp nhảy để kiểm tra quyền truy cập của quản trị viên, hạn chế quyền truy cập vào mặt phẳng điều khiển và hạn chế quyền truy cập giao diện quản lý ESXi vào các thiết bị quản trị cụ thể.