برنامج EncryptRAT
كانت المجموعة الإرهابية ذات الدوافع المالية المعروفة باسم EncryptHub تعمل بنشاط على تنظيم حملات تصيد متقدمة لنشر برامج سرقة المعلومات وبرامج الفدية. بالإضافة إلى ذلك، تعمل المجموعة على أداة تهديد جديدة تسمى EncryptRAT، مما يشير إلى تطورها المستمر في مجال الجرائم الإلكترونية.
جدول المحتويات
استهداف التطبيقات الشائعة واستخدام خدمات PPI
وقد لوحظ أن EncryptHub تقوم بتوزيع إصدارات محملة بأحصنة طروادة من التطبيقات المستخدمة على نطاق واسع للتسلل إلى أنظمة الضحايا. كما تستفيد المجموعة من خدمات الدفع لكل تثبيت (PPI) التابعة لجهات خارجية، مثل LabInstalls، لتوسيع نطاق حملات البرامج الضارة الخاصة بها.
أخطاء الأمن التشغيلي واستغلال الثغرات
حدد باحثو الأمن السيبراني مجموعة EncryptHub باعتبارها مجموعة قرصنة ترتكب أخطاء أمنية تشغيلية بشكل متكرر. وعلى الرغم من هذه الأخطاء، نجحت المجموعة في دمج ثغرات أمنية معروفة على نطاق واسع في هجماتها، مما يجعلها تهديدًا مستمرًا.
التهديد الناشئ: LARVA-208 والهجمات متعددة القنوات
يُعتقد أن EncryptHub، الذي تتبعه أيضًا شركة سويسرية للأمن السيبراني باسم LARVA-208، أصبح نشطًا في يونيو 2024. تستخدم المجموعة متجهات هجوم مختلفة، بما في ذلك التصيد عبر الرسائل النصية القصيرة (smishing) والتصيد الصوتي (vishing)، لخداع الضحايا لتثبيت برامج المراقبة والإدارة عن بعد (RMM).
الانتماءات إلى مجموعات برامج الفدية الرئيسية
ترتبط EncryptHub بعلاقات قوية مع مجموعتي RansomHub و Blacksuit Ransomware . على مدار الأشهر التسعة الماضية، اخترقت أكثر من 618 هدفًا عالي القيمة عبر العديد من الصناعات باستخدام تقنيات الهندسة الاجتماعية المتقدمة. يتضمن أحد التكتيكات الشائعة مواقع التصيد المصممة لسرقة بيانات اعتماد VPN، تليها مكالمة تنتحل صفة دعم تكنولوجيا المعلومات لإقناع الضحايا بإدخال تفاصيلهم. في الحالات التي لا يتم فيها استخدام المكالمات، تعمل روابط Microsoft Teams المزيفة كطعم.
استضافة آمنة ونشر البرامج الضارة
لتجنب الكشف، تستضيف EncryptHub مواقع التصيد الاحتيالي على موفري استضافة محصنين ضد الهجمات الإلكترونية مثل Yalishand. بمجرد الحصول على الوصول، ينفذ المهاجم نصوص PowerShell لتثبيت برامج ضارة مثل Fickle و StealC و Rhadamanthys . في معظم الحالات، يكون الهدف النهائي هو نشر برامج الفدية وابتزاز مبلغ الفدية.
التطبيقات المصابة بأحصنة طروادة كنقطة دخول رئيسية
تتضمن طريقة أخرى شائعة الاستخدام إخفاء البرامج الضارة على أنها برامج شرعية. تقوم EncryptHub بتوزيع إصدارات مزيفة من تطبيقات مثل QQ Talk وQQ Installer وWeChat وDingTalk وVooV Meeting وGoogle Meet وMicrosoft Visual Studio 2022 وPalo Alto Global Protect. بمجرد التثبيت، تبدأ هذه التطبيقات المزيفة عملية متعددة المراحل، مما يؤدي في النهاية إلى تسليم حمولات غير آمنة مثل Kematian Stealer لجمع ملفات تعريف الارتباط الخاصة بالمتصفح وغيرها من البيانات الحساسة.
LabInstalls: عنصر حاسم في توزيع البرامج الضارة
منذ 2 يناير 2025 على الأقل، اعتمدت EncryptHub على LabInstalls، وهي خدمة PPI تقدم تثبيتًا جماعيًا للبرامج الضارة مقابل رسوم. تتراوح الأسعار من 10 دولارات مقابل 100 عملية تحميل إلى 450 دولارًا مقابل 10000 عملية تحميل. أكدت EncryptHub استخدامها للخدمة من خلال ترك تعليقات إيجابية على منتدى سري ناطق بالروسية، حتى أنها شاركت لقطة شاشة كدليل. يشير هذا إلى أن الفاعل يستعين بمصادر خارجية للتوزيع لتوسيع نطاق عملياته بكفاءة أكبر.
EncryptRAT: التطور القادم في مجال الجرائم الإلكترونية
تعمل شركة EncryptHub بشكل نشط على تطوير EncryptRAT، وهي لوحة تحكم وقيادة مصممة لإدارة الأنظمة المصابة وتنفيذ الأوامر عن بعد والوصول إلى البيانات المسروقة. تشير بعض الأدلة إلى أن المجموعة ربما تخطط لتسويق هذه الأداة تجاريًا، مما قد يزيد من تهديدها للشركات والأفراد على حد سواء.
الحاجة إلى اليقظة والدفاع الاستباقي
يسلط التكيف والتطور المستمر لـ EncryptHub الضوء على الحاجة الملحة للمنظمات لتبني استراتيجيات أمنية متعددة الطبقات. تعد المراقبة المستمرة وتدابير الدفاع الاستباقية وتدريب المستخدمين على الوعي أمرًا ضروريًا للتخفيف من المخاطر التي يفرضها هذا التهديد السيبراني المتزايد.
