EncryptRAT

आर्थिक रूपमा प्रेरित खतरा अभिनेतालाई EncryptHub भनेर चिनिने, सूचना चोर्ने र ransomware तैनाथ गर्न उन्नत फिसिङ अभियानहरू सक्रिय रूपमा सञ्चालन गरिरहेको छ। थप रूपमा, समूहले EncryptRAT नामक नयाँ खतरापूर्ण उपकरणमा काम गरिरहेको छ, जसले साइबर अपराध परिदृश्यमा यसको निरन्तर विकासको संकेत गर्दछ।

लोकप्रिय अनुप्रयोगहरूलाई लक्षित गर्दै र PPI सेवाहरू प्रयोग गर्दै

एन्क्रिप्टहबले पीडितहरूको प्रणालीमा घुसपैठ गर्न व्यापक रूपमा प्रयोग हुने अनुप्रयोगहरूको ट्रोजनाइज्ड संस्करणहरू वितरण गरेको अवलोकन गरिएको छ। समूहले आफ्नो मालवेयर अभियानहरूको पहुँच फराकिलो बनाउन ल्याबइन्स्टल्स जस्ता तेस्रो-पक्ष पे-पर-इन्स्टल (पीपीआई) सेवाहरूको पनि लाभ उठाउँछ।

सञ्चालन सुरक्षा गल्तीहरू र शोषण उपयोग

साइबर सुरक्षा अनुसन्धानकर्ताहरूले एन्क्रिप्टहबलाई ह्याकिङ समूहको रूपमा पहिचान गरेका छन् जसले बारम्बार सञ्चालन सुरक्षा त्रुटिहरू गर्छ। यी गल्तीहरूको बावजुद, समूहले व्यापक रूपमा ज्ञात सुरक्षा कमजोरीहरूको शोषणलाई सफलतापूर्वक आफ्नो आक्रमणहरूमा एकीकृत गर्दछ, जसले तिनीहरूलाई निरन्तर खतरा बनाउँछ।

उदाउँदो खतरा: LARVA-208 र बहु-च्यानल आक्रमणहरू

स्विस साइबरसुरक्षा फर्म LARVA-208 द्वारा पनि ट्र्याक गरिएको, EncryptHub जुन २०२४ मा सक्रिय भएको विश्वास गरिन्छ। यो समूहले पीडितहरूलाई रिमोट मोनिटरिङ एण्ड म्यानेजमेन्ट (RMM) सफ्टवेयर स्थापना गर्न धोका दिन SMS फिसिङ (स्मिसिङ) र भ्वाइस फिसिङ (भिसिङ) सहित विभिन्न आक्रमण भेक्टरहरू प्रयोग गर्दछ।

प्रमुख र्‍यान्समवेयर समूहहरूसँग सम्बद्धता

EncryptHub को RansomHub र Blacksuit Ransomware समूहहरूसँग बलियो सम्बन्ध छ। विगत नौ महिनामा, यसले उन्नत सामाजिक इन्जिनियरिङ प्रविधिहरू प्रयोग गरेर धेरै उद्योगहरूमा ६१८ भन्दा बढी उच्च-मूल्य लक्ष्यहरू सम्झौता गरेको छ। एउटा सामान्य रणनीतिमा VPN प्रमाणहरू चोर्न डिजाइन गरिएका फिसिङ वेबसाइटहरू समावेश छन्, त्यसपछि पीडितहरूलाई उनीहरूको विवरणहरू प्रविष्ट गर्न मनाउन IT समर्थनको नक्कल गर्ने कल गरिन्छ। कलहरू प्रयोग नगरिएका अवस्थामा, नक्कली Microsoft Teams लिङ्कहरूले चाराको रूपमा काम गर्छन्।

बुलेटप्रुफ होस्टिङ र मालवेयर डिप्लोयमेन्ट

पत्ता लगाउनबाट बच्न, EncryptHub ले Yalishand जस्ता बुलेटप्रुफ होस्टिङ प्रदायकहरूमा फिसिङ साइटहरू होस्ट गर्दछ। पहुँच प्राप्त भएपछि, आक्रमणकारीले Fickle , StealC , र Rhadamanthys जस्ता चोरी गर्ने मालवेयर स्थापना गर्न PowerShell स्क्रिप्टहरू कार्यान्वयन गर्दछ। धेरैजसो अवस्थामा, अन्तिम उद्देश्य ransomware तैनाथ गर्नु र फिरौती भुक्तानी असुल्नु हो।

प्रमुख प्रवेश बिन्दुको रूपमा ट्रोजनाइज्ड अनुप्रयोगहरू

अर्को सामान्यतया प्रयोग हुने विधि भनेको मालवेयरलाई वैध सफ्टवेयरको रूपमा लुकाउनु हो। EncryptHub ले QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 र Palo Alto Global Protect जस्ता अनुप्रयोगहरूको नक्कली संस्करणहरू वितरण गर्दै आएको छ। एक पटक स्थापना भएपछि, यी नक्कली अनुप्रयोगहरूले बहु-चरण प्रक्रिया सुरु गर्छन्, अन्ततः ब्राउजर कुकीहरू र अन्य संवेदनशील डेटा सङ्कलन गर्न केमेशियन स्टीलर जस्ता असुरक्षित पेलोडहरू प्रदान गर्छन्।

LabInstalls: मालवेयर वितरणमा एक महत्वपूर्ण तत्व

कम्तिमा जनवरी २, २०२५ देखि, EncryptHub ले शुल्क तिरेर बल्क मालवेयर स्थापना प्रदान गर्ने PPI सेवा LabInstalls मा भर परेको छ। मूल्यहरू १०० लोडको लागि $१० देखि १०,००० लोडको लागि $४५० सम्मका छन्। EncryptHub ले रूसी भाषी भूमिगत फोरममा सकारात्मक प्रतिक्रिया छोडेर, प्रमाणको रूपमा स्क्रिनसट पनि साझा गरेर सेवाको प्रयोगको पुष्टि गर्‍यो। यसले सुझाव दिन्छ कि अभिनेताले आफ्नो सञ्चालनलाई अझ प्रभावकारी रूपमा मापन गर्न वितरणलाई आउटसोर्स गरिरहेको छ।

EncryptRAT: साइबर अपराधमा अर्को विकास

EncryptHub ले सक्रिय रूपमा EncryptRAT विकास गरिरहेको छ, जुन संक्रमित प्रणालीहरू व्यवस्थापन गर्न, रिमोट आदेशहरू कार्यान्वयन गर्न र चोरी भएको डेटा पहुँच गर्न डिजाइन गरिएको कमाण्ड-एन्ड-कन्ट्रोल (C2) प्यानल हो। केही प्रमाणहरूले सुझाव दिन्छ कि समूहले यो उपकरणलाई व्यावसायिकरण गर्ने योजना बनाइरहेको हुन सक्छ, जसले गर्दा व्यवसाय र व्यक्तिहरू दुवैलाई यसको खतरा बढ्न सक्छ।

सतर्कता र सक्रिय रक्षाको आवश्यकता

इन्क्रिप्टहबको निरन्तर अनुकूलन र विकासले संस्थाहरूले बहु-स्तरीय सुरक्षा रणनीतिहरू अपनाउनु पर्ने तत्काल आवश्यकतालाई प्रकाश पार्छ। यो बढ्दो साइबर खतराबाट उत्पन्न जोखिमहरूलाई कम गर्न निरन्तर अनुगमन, सक्रिय रक्षा उपायहरू, र प्रयोगकर्ता जागरूकता तालिम आवश्यक छ।