EncryptRAT
Az EncryptHub néven ismert, pénzügyileg motivált fenyegetésekkel foglalkozó szereplő aktívan szervezett fejlett adathalász kampányokat információlopók és zsarolóvírusok telepítésére. Ezenkívül a csoport egy új fenyegető eszközön dolgozik, az EncryptRAT-en, jelezve annak folyamatos fejlődését a kiberbűnözés terén.
Tartalomjegyzék
Népszerű alkalmazások célzása és PPI-szolgáltatások használata
Megfigyelték, hogy az EncryptHub széles körben használt alkalmazások trójai változatait terjeszti, hogy behatoljon az áldozatok rendszereibe. A csoport harmadik féltől származó Pay-Per-Install (PPI) szolgáltatásokat is igénybe vesz, mint például a LabInstalls, hogy kiszélesítsék rosszindulatú programjaik hatókörét.
Működési biztonsági hibák és kihasználás
A kiberbiztonsági kutatók az EncryptHub-ot olyan hackercsoportként azonosították, amely gyakran követ el működési biztonsági hibákat. E hibák ellenére a csoport sikeresen integrálja a széles körben ismert biztonsági rések kihasználását a támadásaiba, így azok tartós fenyegetést jelentenek.
Felmerülő fenyegetés: LARVA-208 és többcsatornás támadások
Egy svájci kiberbiztonsági cég által LARVA-208 néven is nyomon követett EncryptHub feltehetően 2024 júniusában vált aktívvá. A csoport különféle támadási vektorokat alkalmaz, beleértve az SMS-es adathalászatot (smishing) és a hangalapú adathalászatot (vishing), hogy az áldozatokat távfelügyeleti és felügyeleti (RMM) szoftver telepítésére csalja meg.
Kapcsolatok nagyobb zsarolóprogram-csoportokkal
Az EncryptHub szoros kapcsolatban áll a RansomHub és a Blacksuit Ransomware csoportokkal. Az elmúlt kilenc hónap során több mint 618 nagy értékű célt veszélyeztetett több iparágban fejlett social engineering technikák segítségével. A gyakori taktika a VPN-hitelesítő adatok ellopására tervezett adathalász webhelyek, majd az IT-támogatást megszemélyesítő hívások rábírják az áldozatokat adataik megadására. Azokban az esetekben, amikor nem használnak hívásokat, a hamis Microsoft Teams hivatkozások csaliként szolgálnak.
Golyóálló tárhely és rosszindulatú programok telepítése
Az észlelés elkerülése érdekében az EncryptHub adathalász webhelyeket biztosít olyan golyóálló tárhelyszolgáltatókon, mint a Yalishand. A hozzáférés megszerzése után a támadó PowerShell-szkripteket hajt végre, hogy telepítse a lopó rosszindulatú programokat, például a Fickle-t , a StealC-t és a Rhadamanthys-t . A legtöbb esetben a végső cél a ransomware telepítése és a váltságdíj kifizetése.
A trójai alkalmazások kulcsfontosságú belépési pontként
Egy másik gyakran használt módszer a rosszindulatú programok legitim szoftvernek való álcázása. Az EncryptHub olyan alkalmazások hamis verzióit terjeszti, mint a QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 és a Palo Alto Global Protect. A telepítést követően ezek a hamisított alkalmazások egy többlépcsős folyamatot indítanak el, és végül nem biztonságos rakományokat szállítanak, mint például a Kematian Stealer a böngésző cookie-jainak és egyéb érzékeny adatoknak a gyűjtésére.
LabInstalls: A rosszindulatú programok terjesztésének kulcsfontosságú eleme
Legalább 2025. január 2. óta az EncryptHub a LabInstalls-ra, egy PPI-szolgáltatásra támaszkodik, amely térítés ellenében kínál tömeges kártevő-telepítést. Az árak 10 dollártól 100 rakományért 450 dollárig 10 000 rakományig terjednek. Az EncryptHub megerősítette a szolgáltatás használatát azzal, hogy pozitív visszajelzést hagyott egy oroszul beszélő földalatti fórumon, és bizonyítékként megosztott egy képernyőképet is. Ez azt sugallja, hogy a szereplő kiszervezi a disztribúciót, hogy hatékonyabban bővítse működését.
EncryptRAT: A kiberbűnözés következő fejlődése
Az EncryptHub aktívan fejleszti az EncryptRAT-et, egy Command-and-Control (C2) panelt, amelyet a fertőzött rendszerek kezelésére, távoli parancsok végrehajtására és ellopott adatok elérésére terveztek. Egyes bizonyítékok arra utalnak, hogy a csoport tervezi ennek az eszköznek a kereskedelmi forgalomba hozatalát, ami potenciálisan növeli a vállalkozások és magánszemélyek fenyegetését.
Az éberség és a proaktív védekezés szükségessége
Az EncryptHub folyamatos adaptációja és fejlődése rávilágít arra, hogy a szervezeteknek sürgősen többrétegű biztonsági stratégiákat kell alkalmazniuk. Az állandó megfigyelés, a proaktív védelmi intézkedések és a felhasználók tudatosságát növelő képzés elengedhetetlenek a növekvő kiberfenyegetés által jelentett kockázatok mérsékléséhez.
