다중 라이센스 할인 견적
위협 데이터베이스 원격 관리 도구 EncryptRAT

EncryptRAT

원격 관리 도구년에 Mezo 년까지
번역 :
한국어

EncryptHub로 알려진 재정적 동기를 가진 위협 행위자는 정보 도용자와 랜섬웨어를 배포하기 위해 고급 피싱 캠페인을 적극적으로 조율해 왔습니다. 또한 이 그룹은 EncryptRAT이라는 새로운 위협 도구를 개발 중이며, 이는 사이버 범죄 환경에서 지속적인 진화를 알리는 신호입니다.

인기 있는 애플리케이션 타겟팅 및 PPI 서비스 사용

EncryptHub는 널리 사용되는 애플리케이션의 트로이 목마 버전을 배포하여 피해자의 시스템에 침투하는 것으로 관찰되었습니다. 이 그룹은 또한 LabInstalls와 같은 타사 Pay-Per-Install(PPI) 서비스를 활용하여 맬웨어 캠페인의 도달 범위를 확대합니다.

운영 보안 실수 및 악용 활용

사이버 보안 연구자들은 EncryptHub를 자주 운영 보안 오류를 범하는 해킹 그룹으로 식별했습니다. 이러한 실수에도 불구하고 이 그룹은 널리 알려진 보안 취약성에 대한 익스플로잇을 공격에 성공적으로 통합하여 지속적인 위협으로 만들었습니다.

떠오르는 위협: LARVA-208 및 다중 채널 공격

스위스 사이버 보안 회사에서 LARVA-208로 추적한 EncryptHub는 2024년 6월에 활동을 시작한 것으로 추정됩니다. 이 그룹은 SMS 피싱(스미싱) 및 음성 피싱(비싱)을 포함한 다양한 공격 벡터를 사용하여 피해자를 속여 원격 모니터링 및 관리(RMM) 소프트웨어를 설치하도록 합니다.

주요 랜섬웨어 그룹과의 제휴

EncryptHub는 RansomHubBlacksuit Ransomware 그룹과 긴밀한 관계를 맺고 있습니다. 지난 9개월 동안 고급 소셜 엔지니어링 기술을 사용하여 여러 산업에 걸쳐 618개 이상의 고가치 대상을 침해했습니다. 일반적인 전술에는 VPN 자격 증명을 훔치도록 설계된 피싱 웹사이트가 포함되고, 그 다음에는 피해자가 세부 정보를 입력하도록 설득하기 위해 IT 지원을 사칭하는 전화가 이어집니다. 전화가 사용되지 않는 경우 가짜 Microsoft Teams 링크가 미끼로 사용됩니다.

방탄 호스팅 및 맬웨어 배포

탐지를 피하기 위해 EncryptHub는 Yalishand와 같은 방탄 호스팅 제공업체에서 피싱 사이트를 호스팅합니다. 액세스가 확보되면 공격자는 PowerShell 스크립트를 실행하여 Fickle , StealC , Rhadamanthys 와 같은 스틸러 맬웨어를 설치합니다. 대부분의 경우 궁극적인 목표는 랜섬웨어를 배포하고 몸값을 갈취하는 것입니다.

주요 진입점으로서의 트로이 목마화된 애플리케이션

또 다른 일반적으로 사용되는 방법은 멀웨어를 합법적인 소프트웨어로 위장하는 것입니다. EncryptHub는 QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 및 Palo Alto Global Protect와 같은 애플리케이션의 가짜 버전을 배포해 왔습니다. 이러한 위조 애플리케이션은 설치되면 다단계 프로세스를 시작하여 결국 브라우저 쿠키 및 기타 민감한 데이터를 수집하기 위해 Kematian Stealer와 같은 안전하지 않은 페이로드를 전달합니다.

LabInstalls: 맬웨어 배포의 중요한 요소

EncryptHub는 적어도 2025년 1월 2일부터 유료로 대량 맬웨어 설치를 제공하는 PPI 서비스인 LabInstalls에 의존해 왔습니다. 가격은 100회 로드 시 10달러에서 10,000회 로드 시 450달러까지 다양합니다. EncryptHub는 러시아어를 사용하는 지하 포럼에 긍정적인 피드백을 남기고, 심지어 증거로 스크린샷을 공유함으로써 이 서비스를 사용했다는 것을 확인했습니다. 이는 해당 공격자가 운영을 보다 효율적으로 확장하기 위해 배포를 아웃소싱하고 있음을 시사합니다.

EncryptRAT: 사이버범죄의 차세대 진화

EncryptHub는 감염된 시스템을 관리하고, 원격 명령을 실행하고, 도난당한 데이터에 액세스하도록 설계된 명령 및 제어(C2) 패널인 EncryptRAT를 적극적으로 개발하고 있습니다. 일부 증거에 따르면 이 그룹은 이 도구를 상용화하여 기업과 개인 모두에게 위협을 증가시킬 가능성이 있습니다.

경계와 선제적 방어의 필요성

EncryptHub의 지속적인 적응과 진화는 조직이 다층 보안 전략을 채택해야 할 시급한 필요성을 강조합니다. 지속적인 모니터링, 사전 방어 조치 및 사용자 인식 교육은 이 증가하는 사이버 위협으로 인한 위험을 완화하는 데 필수적입니다.

트렌드

Ervoql 앱

잠재적으로 원하지 않는 프로그램, 애드웨어, 브라우저 하이재커
침입적이고 신뢰할 수 없는 애플리케이션으로부터 기기를 보호하는 것이 그 어느 때보다 중요합니다. 잠재적으로 원치 않는 프로그램(PUP)은 무해해 보일 수 있지만 종종 보안, 개인 정보 보호 및 시스템 성능을 손상시키는 위험을 초래합니다. 그러한 예 중 하나는 Ervoql 앱으로, Legion Loader 및 기타 의심스러운 구성 요소와 연결되어 특히...

ValidInitiator

맥 맬웨어, 애드웨어, 잠재적으로 원하지 않는 프로그램
Mac 사용자는 시스템을 손상시킬 수 있는 잠재적으로 원치 않는 프로그램(PUP)에 대해 항상 경계해야 합니다. 이러한 침입적 애플리케이션은 종종 유용한 유틸리티로 위장하지만 공격적인 광고 행동을 보이고, 탐색 경험을 방해하고, 심지어 명시적인 동의 없이 민감한 데이터를 수집할 수도 있습니다. ValidInitiator는 그러한 예 중 하나이며, 그...

Lucky (MedusaLocker) 랜섬웨어

랜섬웨어
랜섬웨어는 가장 강력한 사이버 보안 위협 중 하나로 남아 있으며, 공격자는 개인과 기업을 표적으로 삼기 위해 끊임없이 전략을 개선하고 있습니다. MedusaLocker 의 변종인 Lucky Ransomware는 이러한 위협의 파괴적인 본질을 보여주며, 귀중한 파일을 암호화하고 피해자에게 막대한 몸값을 지불하도록 압력을 가합니다. 이 랜섬웨어가 작동하는...

가장 많이 본

Discord가 회색 화면에 멈춤

문제
71,140
때때로 Discord 응용 프로그램을 사용하는 동안 사용자가 회색 화면에서 멈출 수 있습니다. 스트리밍 또는 단순히 응용 프로그램을 로드하는 동안 문제가 발생할 수 있습니다. 이 문제가 발생하고 해결 방법이 궁금하다면 다음 해결 방법을 시도해 보십시오. 화면 모드 간 전환 원인이 시각적 결함이고 더 심각한 것이 아닌 경우 전체 화면 모드 또는 더 작은...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
63,572
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
59,423
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...