EncryptRAT
Finančně motivovaný aktér hrozeb známý jako EncryptHub aktivně organizuje pokročilé phishingové kampaně za účelem nasazení zlodějů informací a ransomwaru. Kromě toho skupina pracuje na novém hrozivém nástroji nazvaném EncryptRAT, který signalizuje jeho neustálý vývoj v prostředí kybernetické kriminality.
Obsah
Cílení na oblíbené aplikace a používání služeb PPI
EncryptHub byl pozorován při distribuci trojanizovaných verzí široce používaných aplikací k infiltraci systémů obětí. Skupina také využívá služby Pay-Per-Install (PPI) třetích stran, jako je LabInstalls, aby rozšířila dosah svých malwarových kampaní.
Chyby v provozní bezpečnosti a využití zneužití
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali EncryptHub jako hackerskou skupinu, která často dělá chyby v provozním zabezpečení. Navzdory těmto chybám skupina úspěšně integruje exploity široce známých bezpečnostních zranitelností do svých útoků, což z nich činí trvalou hrozbu.
Vznikající hrozba: LARVA-208 a vícekanálové útoky
EncryptHub, který je také sledován švýcarskou firmou zabývající se kybernetickou bezpečností jako LARVA-208, se pravděpodobně stal aktivním v červnu 2024. Skupina využívá různé způsoby útoků, včetně SMS phishingu (smishing) a hlasového phishingu (vising), aby přiměla oběti k instalaci softwaru pro vzdálené monitorování a správu (RMM).
Přidružení k hlavním ransomwarovým skupinám
EncryptHub má silné vazby na skupiny RansomHub a Blacksuit Ransomware . Za posledních devět měsíců zkompromitovala více než 618 vysoce hodnotných cílů v různých odvětvích pomocí pokročilých technik sociálního inženýrství. Obvyklá taktika zahrnuje phishingové weby navržené ke krádeži přihlašovacích údajů VPN, po kterém následuje telefonát, který se vydává za IT podporu, aby přesvědčili oběti, aby zadali své údaje. V případech, kdy se hovory nepoužívají, slouží jako návnada falešné odkazy na Microsoft Teams.
Neprůstřelný hosting a nasazení malwaru
Aby se vyhnul detekci, hostuje EncryptHub phishingové stránky na neprůstřelných poskytovatelích hostingu, jako je Yalishand. Jakmile útočník získá přístup, spustí skripty PowerShellu k instalaci zlodějského malwaru, jako je Fickle , StealC a Rhadamanthys . Ve většině případů je konečným cílem nasazení ransomwaru a vymáhání platby výkupného.
Trojanizované aplikace jako klíčový vstupní bod
Další běžně používanou metodou je maskování malwaru jako legitimního softwaru. EncryptHub distribuuje falešné verze aplikací jako QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 a Palo Alto Global Protect. Po instalaci tyto padělané aplikace zahájí vícestupňový proces, který nakonec dodá nebezpečné užitečné zatížení, jako je Kematian Stealer, ke shromažďování souborů cookie prohlížeče a dalších citlivých dat.
LabInstalls: Rozhodující prvek v distribuci malwaru
Minimálně od 2. ledna 2025 se EncryptHub spoléhá na LabInstalls, službu PPI, která nabízí hromadnou instalaci malwaru za poplatek. Ceny se pohybují od 10 USD za 100 kusů do 450 USD za 10 000 kusů. EncryptHub potvrdil své používání služby tím, že zanechal pozitivní zpětnou vazbu na rusky mluvícím podzemním fóru, dokonce jako důkaz sdílel snímek obrazovky. To naznačuje, že aktér outsourcuje distribuci, aby efektivněji škáloval své operace.
EncryptRAT: Další vývoj v kyberzločinu
EncryptHub aktivně vyvíjí EncryptRAT, panel Command-and-Control (C2) určený ke správě infikovaných systémů, spouštění vzdálených příkazů a přístupu k odcizeným datům. Některé důkazy naznačují, že skupina možná plánuje komercializaci tohoto nástroje, což by mohlo zvýšit jeho hrozbu pro podniky i jednotlivce.
Potřeba bdělosti a proaktivní obrany
Neustálé přizpůsobování a vývoj EncryptHub zdůrazňuje naléhavou potřebu organizací přijmout vícevrstvé bezpečnostní strategie. Neustálé sledování, proaktivní obranná opatření a školení informovanosti uživatelů jsou zásadní pro zmírnění rizik, která tato rostoucí kybernetická hrozba představuje.
