EncryptRAT
Financijski motivirani akter prijetnji poznat kao EncryptHub aktivno je orkestrirao napredne phishing kampanje za implementaciju kradljivaca informacija i ransomwarea. Osim toga, grupa radi na novom prijetećem alatu pod nazivom EncryptRAT, signalizirajući njegovu kontinuiranu evoluciju u krajoliku kibernetičkog kriminala.
Sadržaj
Ciljanje popularnih aplikacija i korištenje PPI usluga
Primijećeno je da EncryptHub distribuira trojanizirane verzije široko korištenih aplikacija za infiltraciju u sustave žrtava. Grupa također koristi usluge plaćanja po instalaciji (PPI) trećih strana, kao što je LabInstalls, kako bi proširila doseg svojih kampanja zlonamjernog softvera.
Operativne sigurnosne pogreške i iskorištavanje zloporabe
Istraživači kibernetičke sigurnosti identificirali su EncryptHub kao hakersku skupinu koja često čini sigurnosne pogreške u radu. Unatoč tim pogreškama, grupa uspješno integrira eksploatacije za široko poznate sigurnosne propuste u svoje napade, čineći ih trajnom prijetnjom.
Prijetnja u nastajanju: LARVA-208 i višekanalni napadi
Također praćen od strane švicarske tvrtke za kibernetičku sigurnost kao LARVA-208, vjeruje se da je EncryptHub postao aktivan u lipnju 2024. Grupa koristi različite vektore napada, uključujući SMS phishing (smishing) i glasovni phishing (vising), kako bi prevarili žrtve da instaliraju softver za daljinski nadzor i upravljanje (RMM).
Povezanost s glavnim grupama Ransomwarea
EncryptHub ima jake veze s grupama RansomHub i Blacksuit Ransomware . Tijekom proteklih devet mjeseci kompromitirao je više od 618 ciljeva visoke vrijednosti u više industrija koristeći napredne tehnike društvenog inženjeringa. Uobičajena taktika uključuje phishing web-mjesta dizajnirana za krađu VPN vjerodajnica, nakon čega slijedi poziv koji se predstavlja kao IT podrška kako bi se žrtve uvjerile da unesu svoje podatke. U slučajevima kada se pozivi ne koriste, lažne Microsoft Teams veze služe kao mamac.
Neprobojni hosting i implementacija zlonamjernog softvera
Kako bi izbjegao otkrivanje, EncryptHub hostira web stranice za krađu identiteta na neprobojnim pružateljima usluga hostinga kao što je Yalishand. Nakon što se dobije pristup, napadač izvršava PowerShell skripte za instaliranje kradljivog zlonamjernog softvera kao što su Fickle , StealC i Rhadamanthys . U većini slučajeva krajnji je cilj postaviti ransomware i iznuditi plaćanje otkupnine.
Trojanizirane aplikacije kao ključna ulazna točka
Još jedna često korištena metoda uključuje maskiranje zlonamjernog softvera kao legitimnog softvera. EncryptHub je distribuirao lažne verzije aplikacija kao što su QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 i Palo Alto Global Protect. Jednom instalirane, te krivotvorene aplikacije pokreću višefazni proces, na kraju isporučujući nesigurne sadržaje kao što je Kematian Stealer za prikupljanje kolačića preglednika i drugih osjetljivih podataka.
LabInstalls: ključni element u distribuciji zlonamjernog softvera
Najmanje od 2. siječnja 2025. EncryptHub se oslanja na LabInstalls, PPI uslugu koja nudi skupnu instalaciju zlonamjernog softvera uz naknadu. Cijene se kreću od 10 dolara za 100 punjenja do 450 dolara za 10 000 punjenja. EncryptHub je potvrdio svoju upotrebu usluge ostavljajući pozitivne povratne informacije na podzemnom forumu ruskog govornog područja, čak je podijelio i snimku zaslona kao dokaz. To sugerira da akter eksternalizira distribuciju kako bi učinkovitije skalirao svoje operacije.
EncryptRAT: Sljedeća evolucija kibernetičkog kriminala
EncryptHub aktivno razvija EncryptRAT, Command-and-Control (C2) panel dizajniran za upravljanje zaraženim sustavima, izvršavanje daljinskih naredbi i pristup ukradenim podacima. Neki dokazi sugeriraju da grupa možda planira komercijalizirati ovaj alat, potencijalno povećavajući njegovu prijetnju poduzećima i pojedincima.
Potreba za budnošću i proaktivnom obranom
Stalna prilagodba i evolucija EncryptHuba naglašavaju hitnu potrebu da organizacije usvoje višeslojne sigurnosne strategije. Stalni nadzor, proaktivne obrambene mjere i obuka za podizanje svijesti korisnika ključni su za ublažavanje rizika koje predstavlja ova rastuća kibernetička prijetnja.
