EncryptRAT
Finansowo zmotywowany aktor zagrożeń znany jako EncryptHub aktywnie organizuje zaawansowane kampanie phishingowe w celu wdrażania programów kradnących informacje i ransomware. Ponadto grupa pracuje nad nowym narzędziem zagrażającym o nazwie EncryptRAT, sygnalizując jego ciągłą ewolucję w krajobrazie cyberprzestępczości.
Spis treści
Kierowanie na popularne aplikacje i korzystanie z usług PPI
Zaobserwowano, że EncryptHub dystrybuuje trojanizowane wersje powszechnie używanych aplikacji w celu infiltracji systemów ofiar. Grupa wykorzystuje również usługi Pay-Per-Install (PPI) stron trzecich, takie jak LabInstalls, aby poszerzyć zasięg swoich kampanii malware.
Błędy w zakresie bezpieczeństwa operacyjnego i wykorzystanie luk
Badacze cyberbezpieczeństwa zidentyfikowali EncryptHub jako grupę hakerską, która często popełnia błędy bezpieczeństwa operacyjnego. Pomimo tych błędów grupa z powodzeniem integruje exploity dla powszechnie znanych luk w zabezpieczeniach w swoich atakach, co czyni je trwałym zagrożeniem.
Nowe zagrożenie: LARVA-208 i ataki wielokanałowe
EncryptHub, śledzony również przez szwajcarską firmę zajmującą się cyberbezpieczeństwem pod nazwą LARVA-208, najprawdopodobniej uaktywnił się w czerwcu 2024 r. Grupa wykorzystuje różne wektory ataków, w tym phishing SMS (smishing) i phishing głosowy (vishing), aby oszukać ofiary i nakłonić je do zainstalowania oprogramowania do zdalnego monitorowania i zarządzania (RMM).
Powiązania z głównymi grupami zajmującymi się oprogramowaniem ransomware
EncryptHub ma silne powiązania z grupami RansomHub i Blacksuit Ransomware . W ciągu ostatnich dziewięciu miesięcy naruszyło ponad 618 cennych celów w wielu branżach, wykorzystując zaawansowane techniki inżynierii społecznej. Powszechną taktyką są witryny phishingowe zaprojektowane w celu kradzieży danych uwierzytelniających VPN, a następnie połączenie podszywające się pod pomoc techniczną IT, aby nakłonić ofiary do podania swoich danych. W przypadkach, gdy połączenia nie są używane, fałszywe linki Microsoft Teams służą jako przynęta.
Hosting odporny na kule i wdrażanie złośliwego oprogramowania
Aby uniknąć wykrycia, EncryptHub hostuje witryny phishingowe na niezawodnych dostawcach hostingu, takich jak Yalishand. Po uzyskaniu dostępu atakujący uruchamia skrypty PowerShell, aby zainstalować złośliwe oprogramowanie typu stealer, takie jak Fickle , StealC i Rhadamanthys . W większości przypadków ostatecznym celem jest wdrożenie oprogramowania ransomware i wymuszenie zapłaty okupu.
Aplikacje trojańskie jako kluczowy punkt wejścia
Inna powszechnie stosowana metoda polega na maskowaniu złośliwego oprogramowania pod legalnym oprogramowaniem. EncryptHub dystrybuuje fałszywe wersje aplikacji, takich jak QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 i Palo Alto Global Protect. Po zainstalowaniu te fałszywe aplikacje inicjują wieloetapowy proces, ostatecznie dostarczając niebezpieczne ładunki, takie jak Kematian Stealer, w celu zbierania plików cookie przeglądarki i innych poufnych danych.
LabInstalls: kluczowy element dystrybucji złośliwego oprogramowania
Od co najmniej 2 stycznia 2025 r. EncryptHub polega na LabInstalls, usłudze PPI, która oferuje masową instalację złośliwego oprogramowania za opłatą. Ceny wahają się od 10 USD za 100 pobrań do 450 USD za 10 000 pobrań. EncryptHub potwierdził korzystanie z usługi, wystawiając pozytywne opinie na rosyjskojęzycznym forum podziemnym, a nawet udostępniając zrzut ekranu jako dowód. Sugeruje to, że aktor zleca dystrybucję na zewnątrz, aby skalować swoje operacje bardziej efektywnie.
EncryptRAT: kolejna ewolucja w cyberprzestępczości
EncryptHub aktywnie rozwija EncryptRAT, panel Command-and-Control (C2) przeznaczony do zarządzania zainfekowanymi systemami, wykonywania zdalnych poleceń i uzyskiwania dostępu do skradzionych danych. Niektóre dowody sugerują, że grupa może planować komercjalizację tego narzędzia, potencjalnie zwiększając jego zagrożenie dla firm i osób fizycznych.
Potrzeba czujności i proaktywnej obrony
Ciągła adaptacja i ewolucja EncryptHub podkreślają pilną potrzebę przyjęcia przez organizacje wielowarstwowych strategii bezpieczeństwa. Stały monitoring, proaktywne środki obronne i szkolenia w zakresie świadomości użytkowników są niezbędne do złagodzenia ryzyka stwarzanego przez to rosnące zagrożenie cybernetyczne.
