EncryptRAT
Aktor ancaman bermotivasi kewangan yang dikenali sebagai EncryptHub telah secara aktif mengatur kempen pancingan data lanjutan untuk menggunakan pencuri maklumat dan perisian tebusan. Selain itu, kumpulan itu sedang mengusahakan alat mengancam baharu yang dipanggil EncryptRAT, menandakan evolusi berterusannya dalam landskap jenayah siber.
Isi kandungan
Menyasarkan Aplikasi Popular dan Menggunakan Perkhidmatan PPI
EncryptHub telah diperhatikan mengedarkan versi trojan aplikasi yang digunakan secara meluas untuk menyusup ke sistem mangsa. Kumpulan itu juga memanfaatkan perkhidmatan Bayar Setiap Pemasangan (PPI) pihak ketiga, seperti LabInstalls, untuk meluaskan jangkauan kempen perisian hasad mereka.
Kesilapan Keselamatan Operasi dan Penggunaan Eksploitasi
Penyelidik Cybersecurity telah mengenal pasti EncryptHub sebagai kumpulan penggodaman yang kerap membuat ralat keselamatan operasi. Walaupun kesilapan ini, kumpulan itu berjaya menyepadukan eksploitasi untuk kelemahan keselamatan yang diketahui secara meluas ke dalam serangannya, menjadikannya ancaman berterusan.
Ancaman Muncul: LARVA-208 dan Serangan Berbilang Saluran
Turut dijejaki oleh firma keselamatan siber Switzerland sebagai LARVA-208, EncryptHub dipercayai mula aktif pada Jun 2024. Kumpulan itu menggunakan pelbagai vektor serangan, termasuk pancingan data SMS (smishing) dan pancingan data suara (vishing), untuk memperdaya mangsa supaya memasang perisian Pemantauan dan Pengurusan Jauh (RMM).
Gabungan dengan Kumpulan Ransomware Utama
EncryptHub mempunyai hubungan kukuh dengan kumpulan RansomHub dan Blacksuit Ransomware . Sepanjang sembilan bulan lalu, ia telah menjejaskan lebih daripada 618 sasaran bernilai tinggi merentas pelbagai industri menggunakan teknik kejuruteraan sosial termaju. Taktik biasa melibatkan tapak web pancingan data yang direka untuk mencuri bukti kelayakan VPN, diikuti dengan panggilan yang menyamar sebagai sokongan IT untuk memujuk mangsa memasukkan butiran mereka. Dalam kes di mana panggilan tidak digunakan, pautan Microsoft Teams palsu berfungsi sebagai umpan.
Pengehosan Kalis Peluru dan Penyebaran Perisian Hasad
Untuk mengelakkan pengesanan, EncryptHub mengehos tapak pancingan data pada penyedia pengehosan kalis peluru seperti Yalishand. Setelah akses diperoleh, penyerang melaksanakan skrip PowerShell untuk memasang perisian hasad pencuri seperti Fickle , StealC dan Rhadamanthys . Dalam kebanyakan kes, objektif utama adalah untuk menggunakan perisian tebusan dan memeras bayaran tebusan.
Aplikasi Trojan sebagai Titik Kemasukan Utama
Kaedah lain yang biasa digunakan melibatkan penyamaran perisian hasad sebagai perisian yang sah. EncryptHub telah mengedarkan versi aplikasi palsu seperti QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 dan Palo Alto Global Protect. Setelah dipasang, aplikasi palsu ini memulakan proses berbilang peringkat, akhirnya menghantar muatan yang tidak selamat seperti Kematian Stealer untuk mengumpul kuki penyemak imbas dan data sensitif yang lain.
LabInstalls: Elemen Penting dalam Pengedaran Perisian Hasad
Sejak sekurang-kurangnya 2 Januari 2025, EncryptHub telah bergantung pada LabInstalls, perkhidmatan PPI yang menawarkan pemasangan perisian hasad pukal dengan bayaran. Harga berkisar antara $10 untuk 100 muatan hingga $450 untuk 10,000 muatan. EncryptHub mengesahkan penggunaan perkhidmatan tersebut dengan meninggalkan maklum balas positif pada forum bawah tanah berbahasa Rusia, malah berkongsi tangkapan skrin sebagai bukti. Ini menunjukkan pelakon itu menyumber luar pengedaran untuk meningkatkan operasinya dengan lebih cekap.
EncryptRAT: Evolusi Seterusnya dalam Jenayah Siber
EncryptHub sedang giat membangunkan EncryptRAT, panel Command-and-Control (C2) yang direka untuk mengurus sistem yang dijangkiti, melaksanakan arahan jauh dan mengakses data yang dicuri. Sesetengah bukti menunjukkan kumpulan itu mungkin merancang untuk mengkomersialkan alat ini, yang berpotensi meningkatkan ancamannya kepada perniagaan dan individu.
Keperluan untuk Kewaspadaan dan Pertahanan Proaktif
Penyesuaian dan evolusi berterusan EncryptHub menyerlahkan keperluan mendesak untuk organisasi menggunakan strategi keselamatan berbilang lapisan. Pemantauan berterusan, langkah pertahanan proaktif dan latihan kesedaran pengguna adalah penting untuk mengurangkan risiko yang ditimbulkan oleh ancaman siber yang semakin meningkat ini.
