RedCurl APT 组织利用 7-Zip 加密存档文件窃取数据

在 2025 年 1 月发现的一次复杂的网络间谍活动中，RedCurl APT 组织（也称为 EarthKapre）被发现以律师事务所和企业组织为目标，专注于企业间谍活动。

攻击者采用多阶段攻击链，利用合法工具进行数据泄露，使得他们的活动难以使用传统安全措施检测到。

当攻击者使用合法的 Adobe 可执行文件 (ADNotificationManager.exe) 来侧载其恶意加载程序时，便发现了该活动。

这种技术使他们能够在目标系统上执行恶意软件时绕过安全控制。

初始访问向量涉及一个 Indeed 主题的网络钓鱼 PDF，其中包含指向带有可安装 ISO 文件的 zip 存档的链接。

Indeed 主题的网络钓鱼 pdf（来源 – Esentire）

eSentire 威胁响应部门 (TRU) 的分析师发现，打开已安装的 ISO 文件后，受害者只会看到一个伪装成 CV 应用程序的 SCR 文件，该文件执行后就会启动攻击链。

报告指出：“受害者会看到一个文件‘CV Applicant *.scr’，它是经过合法签名的 Adobe 可执行文件‘ADNotificationManager.exe’。受害者打开文件后，EarthKapre 程序 (netutils.dll) 会被侧载。”

多阶段攻击包括利用 bcrypt.dll API 生成 AES 密钥派生的 SHA256 哈希的复杂字符串加密技术。

攻击链（来源 – Esentire）

每个阶段都与托管在Cloudflare Workers 基础设施上的命令和控制服务器进行通信，检索后续有效负载并窃取被盗数据。

为了进行侦察和数据收集，RedCurl 将一个批处理文件部署到 %APPDATA%Acquisition，该文件执行多个系统命令来收集有关用户帐户、已安装的软件、系统配置和网络资源的信息。

特别值得注意的是，他们使用知名的微软 Sysinternals工具集中的 Active Directory Explorer 进行域枚举。

然后，攻击者利用 7-Zip 对收集的数据进行加密存档。

最终的数据泄露是通过向云存储提供商“Tab Digital”发送 PowerShell PUT 请求来实现的，从而完成了从网络钓鱼开始到窃取潜在敏感的公司数据结束的攻击链。

技术报告：

https://www.esentire.com/blog/unraveling-the-many-stages-and-techniques-used-by-redcurl-earthkapre-apt

新闻链接：

https://cybersecuritynews.com/redcurl-apt-leveraging-active-directory-explorer/