2025 年對勒索軟體生態系而言,是充滿變化的一年。Sophos 研究人員已針對 GOLD BLADE (又名 RedCurl、RedWolf、Earth Kapre) 的手法演進發布詳細研究。
自 2018 年現身以來,該組織持續調整並精進其入侵手法,但長期以來皆與企業間諜攻擊活動相關。他們的攻擊具有高度針對性,且未設置資料外洩網站,顯示該組織可能以「駭客服務 (hack-for-hire)」模式運作。
然而,2025 年 4 月,Sophos 分析人員觀察到該組織開始選擇性部署 QWCrypt 勒索軟體 (最早由 Bitdefender 回報)。此後 Sophos 分析人員持續發現 GOLD BLADE 在特定目標中使用該勒索軟體,顯示該威脅行為者除了受委託執行間諜活動外,可能也開始自行啟動入侵行動直接牟利。
最新觀察顯示,其手法包含以前所未見的方式濫用招聘平台 (例如求職網站、人才媒合平台)、更新與調整過的攻擊傳播鏈,以及擴展為結合資料竊取與勒索軟體部署的混合型運作模式,以達成攻擊目的。
GOLD BLADE 能在間諜活動與勒索攻擊之間轉換,且不斷演進的能力,再次突顯企業必須建立對威脅的認知,並強化自身防禦。
建議
GOLD BLADE 會濫用招聘平台、交替出現休眠與爆發期的行為,以及持續最佳化攻擊手法,展現出遠超一般以牟利為動機的攻擊者的運作成熟度。除了利用各種合法程式 (LOLBins),該組織還維護一套完善且組織良好的攻擊工具,包括修改版的開源工具和自訂的二進位檔,以建立多階段的惡意軟體傳導鏈。GOLD BLADE還自製加密鎖定工具 (locker),並能在間諜活動和勒索軟體間靈活切換,進一步表明該組織尚在不斷進化,企業必須加強防禦。
請透過員工訓練識別出釣魚攻擊和潛在的惡意履歷,並建議他們在招聘平台 (如LinkedIn) 下載履歷出現錯誤 (例如檔案損壞、連結失效或安全警告) 時,千萬不要為了「取得履歷」而忽略錯誤,直接點擊外部提供的替代連結下載。因為駭客常常利用此一漏洞,偽造履歷並誘導人資人員下載含惡意軟體的檔案,進而感染企業系統。
同時,將重要的業務資料離線或於備份於隔離環境中,也是限制攻擊影響並加快復原的好做法。此外,以下技術方法可有效對抗已知的 GOLD BLADE 攻擊策略:
- 強化招聘流程:考慮讓招聘平台的附件先經過電子郵件及安全閘道檢查,再交由人資審閱,或自動隔離含有嵌入連結、巨集或重新導向的履歷。企業也可以使用安全的文件檢視器,在沙箱瀏覽器或僅支援 PDF 格式的檢視器中開啟履歷。
- 優先確保端點受到防護與監控:確保所有端點 (伺服器或工作站) 都接受中央管理並保持最新防護。全面的日誌應成為現代環境的基本需求,以確保可以掌握受影響的資料,這對補救及回應合規與法律要求非常重要。
- 部署託管式偵測與回應 (MDR) 解決方案:擁有偵測與攔截工具固然重要,但若偵測後無行動則效果有限。必須有訓練有素的分析師積極監控、調查及回應警報,確保全面防護。