EncryptRAT

عامل تهدید با انگیزه مالی معروف به EncryptHub به طور فعال کمپین های فیشینگ پیشرفته را برای استقرار دزدان اطلاعات و باج افزار سازماندهی کرده است. علاوه بر این، این گروه در حال کار بر روی یک ابزار تهدید کننده جدید به نام EncryptRAT است که نشان دهنده تکامل مداوم آن در چشم انداز جرایم سایبری است.

هدف قرار دادن برنامه های کاربردی محبوب و استفاده از خدمات PPI

مشاهده شده است که EncryptHub نسخه های تروجانی شده برنامه های کاربردی پرکاربرد را برای نفوذ به سیستم های قربانیان توزیع می کند. این گروه همچنین از خدمات پرداخت به ازای نصب (PPI) شخص ثالث مانند LabInstalls برای گسترش دامنه کمپین های بدافزار خود استفاده می کند.

اشتباهات امنیتی عملیاتی و استفاده از بهره برداری

محققان امنیت سایبری EncryptHub را به عنوان یک گروه هکر شناسایی کرده اند که اغلب خطاهای امنیتی عملیاتی را مرتکب می شود. با وجود این اشتباهات، این گروه با موفقیت اکسپلویت هایی را برای آسیب پذیری های امنیتی شناخته شده در حملات خود ادغام می کند و آنها را به تهدیدی دائمی تبدیل می کند.

تهدید در حال ظهور: LARVA-208 و حملات چند کاناله

همچنین توسط یک شرکت امنیت سایبری سوئیسی به نام LARVA-208 ردیابی می‌شود، EncryptHub در ژوئن 2024 فعال شده است. این گروه از بردارهای حمله مختلف، از جمله فیشینگ پیامکی (smishing) و فیشینگ صوتی (ویشینگ)، برای فریب قربانیان برای نصب نرم‌افزار نظارت و مدیریت از راه دور (RMM) استفاده می‌کند.

وابستگی به گروه های اصلی باج افزار

EncryptHub پیوندهای قوی با گروه RansomHub و Blacksuit Ransomware دارد. طی نه ماه گذشته، بیش از 618 هدف با ارزش بالا را در صنایع مختلف با استفاده از تکنیک‌های پیشرفته مهندسی اجتماعی به خطر انداخته است. یک تاکتیک رایج شامل وب‌سایت‌های فیشینگ است که برای سرقت اعتبار VPN طراحی شده‌اند، و به دنبال آن تماسی جعل هویت پشتیبانی IT برای متقاعد کردن قربانیان برای وارد کردن جزئیات خود است. در مواردی که از تماس ها استفاده نمی شود، پیوندهای جعلی Microsoft Teams به عنوان طعمه عمل می کنند.

میزبانی ضد گلوله و استقرار بدافزار

برای فرار از تشخیص، EncryptHub سایت‌های فیشینگ را در ارائه‌دهندگان میزبانی ضد گلوله مانند Yalishand میزبانی می‌کند. هنگامی که دسترسی به دست آمد، مهاجم اسکریپت های PowerShell را برای نصب بدافزارهای دزد مانند Fickle ، StealC و Rhadamanthys اجرا می کند. در بیشتر موارد، هدف نهایی استقرار باج افزار و اخاذی از پرداخت باج است.

برنامه های کاربردی تروجانیزه شده به عنوان یک نقطه ورود کلیدی

یکی دیگر از روش‌های رایج، پنهان کردن بدافزار به عنوان نرم‌افزار قانونی است. EncryptHub نسخه های جعلی برنامه هایی مانند QQ Talk، QQ Installer، WeChat، DingTalk، VooV Meeting، Google Meet، Microsoft Visual Studio 2022 و Palo Alto Global Protect را توزیع کرده است. پس از نصب، این برنامه‌های تقلبی فرآیندی چند مرحله‌ای را آغاز می‌کنند و در نهایت محموله‌های ناامنی مانند Kematian Stealer را برای جمع‌آوری کوکی‌های مرورگر و سایر داده‌های حساس تحویل می‌دهند.

LabInstalls: عنصری حیاتی در توزیع بدافزار

حداقل از 2 ژانویه 2025، EncryptHub به LabInstalls، یک سرویس PPI که نصب انبوه بدافزار را با پرداخت هزینه ارائه می‌کند، متکی بوده است. قیمت ها از 10 دلار برای 100 بار تا 450 دلار برای 10000 بار متغیر است. EncryptHub استفاده خود از این سرویس را با گذاشتن بازخورد مثبت در یک انجمن زیرزمینی روسی زبان تایید کرد و حتی یک اسکرین شات را به عنوان مدرک به اشتراک گذاشت. این نشان می دهد که بازیگر در حال برون سپاری توزیع است تا عملیات خود را کارآمدتر کند.

EncryptRAT: تکامل بعدی در جرایم سایبری

EncryptHub به طور فعال در حال توسعه EncryptRAT است، یک پنل Command-and-Control (C2) که برای مدیریت سیستم های آلوده، اجرای دستورات از راه دور و دسترسی به داده های سرقت شده طراحی شده است. برخی شواهد نشان می‌دهد که این گروه ممکن است در حال برنامه‌ریزی برای تجاری‌سازی این ابزار باشد که به طور بالقوه تهدید آن را برای مشاغل و افراد به طور یکسان افزایش می‌دهد.

نیاز به هوشیاری و دفاع پیشگیرانه

انطباق و تکامل مستمر EncryptHub نیاز فوری سازمان ها را برای اتخاذ استراتژی های امنیتی چند لایه برجسته می کند. نظارت مستمر، اقدامات دفاعی پیشگیرانه و آموزش آگاهی کاربران برای کاهش خطرات ناشی از این تهدید رو به رشد سایبری ضروری است.