EncryptRAT
Финансово мотивированный субъект угроз, известный как EncryptHub, активно организовывал продвинутые фишинговые кампании для внедрения похитителей информации и программ-вымогателей. Кроме того, группа работает над новым угрожающим инструментом под названием EncryptRAT, что свидетельствует о его непрерывной эволюции в сфере киберпреступности.
Оглавление
Ориентация на популярные приложения и использование услуг PPI
EncryptHub был замечен в распространении троянизированных версий широко используемых приложений для проникновения в системы жертв. Группа также использует сторонние сервисы Pay-Per-Install (PPI), такие как LabInstalls, для расширения охвата своих вредоносных кампаний.
Ошибки эксплуатационной безопасности и использование эксплойтов
Исследователи кибербезопасности определили EncryptHub как хакерскую группу, которая часто допускает ошибки в операционной безопасности. Несмотря на эти ошибки, группа успешно интегрирует эксплойты для широко известных уязвимостей безопасности в свои атаки, что делает их постоянной угрозой.
Новая угроза: LARVA-208 и многоканальные атаки
Также отслеживаемая швейцарской фирмой по кибербезопасности как LARVA-208, группа EncryptHub, как полагают, начала свою деятельность в июне 2024 года. Группировка использует различные векторы атак, включая фишинг с помощью SMS (смишинг) и голосовой фишинг (вишинг), чтобы обманом заставить жертв установить программное обеспечение для удаленного мониторинга и управления (RMM).
Связь с крупными группами, занимающимися программами-вымогателями
EncryptHub имеет тесные связи с группами RansomHub и Blacksuit Ransomware . За последние девять месяцев он скомпрометировал более 618 ценных целей в различных отраслях, используя передовые методы социальной инженерии. Распространенная тактика включает в себя фишинговые веб-сайты, предназначенные для кражи учетных данных VPN, за которыми следует звонок от имени ИТ-поддержки, чтобы убедить жертв ввести свои данные. В случаях, когда звонки не используются, в качестве приманки используются поддельные ссылки Microsoft Teams.
Аварийный хостинг и развертывание вредоносного ПО
Чтобы избежать обнаружения, EncryptHub размещает фишинговые сайты на защищенных хостинг-провайдерах, таких как Yalishand. Получив доступ, злоумышленник выполняет скрипты PowerShell для установки вредоносного ПО-кральщика, такого как Fickle , StealC и Rhadamanthys . В большинстве случаев конечной целью является развертывание программы-вымогателя и вымогательство выкупа.
Троянизированные приложения как ключевая точка входа
Другой часто используемый метод заключается в маскировке вредоносного ПО под легитимное ПО. EncryptHub распространяет поддельные версии таких приложений, как QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 и Palo Alto Global Protect. После установки эти поддельные приложения инициируют многоступенчатый процесс, в конечном итоге доставляя небезопасные полезные нагрузки, такие как Kematian Stealer, для сбора файлов cookie браузера и других конфиденциальных данных.
LabInstalls: важнейший элемент в распространении вредоносного ПО
По крайней мере с 2 января 2025 года EncryptHub использует LabInstalls — сервис PPI, который предлагает массовую установку вредоносного ПО за плату. Цены варьируются от 10 долларов за 100 загрузок до 450 долларов за 10 000 загрузок. EncryptHub подтвердил использование сервиса, оставив положительный отзыв на русскоязычном подпольном форуме, и даже поделился снимком экрана в качестве доказательства. Это говорит о том, что злоумышленник передает распространение на аутсорсинг, чтобы масштабировать свои операции более эффективно.
EncryptRAT: следующий этап эволюции киберпреступности
EncryptHub активно разрабатывает EncryptRAT, панель управления и контроля (C2), предназначенную для управления зараженными системами, выполнения удаленных команд и доступа к украденным данным. Некоторые данные указывают на то, что группа может планировать коммерциализировать этот инструмент, что потенциально увеличивает его угрозу как для предприятий, так и для частных лиц.
Необходимость бдительности и упреждающей защиты
Постоянная адаптация и эволюция EncryptHub подчеркивают настоятельную необходимость для организаций принимать многоуровневые стратегии безопасности. Постоянный мониторинг, упреждающие меры защиты и обучение пользователей по повышению осведомленности имеют важное значение для снижения рисков, связанных с этой растущей киберугрозой.
