EncryptRAT
Finančne motivovaný aktér hrozieb známy ako EncryptHub aktívne organizuje pokročilé phishingové kampane na nasadenie zlodejov informácií a ransomvéru. Okrem toho skupina pracuje na novom hrozivom nástroji s názvom EncryptRAT, ktorý signalizuje jeho neustály vývoj v prostredí počítačovej kriminality.
Obsah
Zacielenie na obľúbené aplikácie a používanie služieb PPI
EncryptHub bol pozorovaný pri distribúcii trójskych verzií široko používaných aplikácií na infiltráciu systémov obetí. Skupina tiež využíva služby Pay-Per-Install (PPI) tretích strán, ako je LabInstalls, na rozšírenie dosahu ich malvérových kampaní.
Chyby v prevádzkovej bezpečnosti a využitie zneužitia
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali EncryptHub ako hackerskú skupinu, ktorá často robí chyby v prevádzkovej bezpečnosti. Napriek týmto chybám skupina úspešne integruje exploity všeobecne známych bezpečnostných zraniteľností do svojich útokov, čo z nich robí pretrvávajúcu hrozbu.
Vznikajúca hrozba: LARVA-208 a viackanálové útoky
EncryptHub, ktorý je tiež sledovaný švajčiarskou firmou zaoberajúcou sa kybernetickou bezpečnosťou ako LARVA-208, sa stal aktívnym v júni 2024. Skupina využíva rôzne typy útokov, vrátane SMS phishingu (smishing) a hlasového phishingu (vising), aby oklamala obete, aby si nainštalovali softvér Remote Monitoring and Management (RMM).
Pridruženie k hlavným ransomvérovým skupinám
EncryptHub má silné väzby so skupinami RansomHub a Blacksuit Ransomware . Za posledných deväť mesiacov ohrozila viac ako 618 vysokohodnotných cieľov vo viacerých odvetviach pomocou pokročilých techník sociálneho inžinierstva. Bežnou taktikou sú phishingové webové stránky navrhnuté tak, aby ukradli prihlasovacie údaje VPN, po ktorom nasleduje telefonát, v ktorom sa vydáva za IT podporu, aby sa obete presvedčili, aby zadali svoje údaje. V prípadoch, keď sa hovory nepoužívajú, slúžia ako návnada falošné odkazy na Microsoft Teams.
Nepriestrelný hosting a nasadenie škodlivého softvéru
Aby sa vyhlo detekcii, EncryptHub hostí phishingové stránky na nepriestrelných poskytovateľoch hostingu, ako je Yalishand. Po získaní prístupu útočník spustí skripty PowerShell na inštaláciu škodlivého softvéru, ako sú Fickle , StealC a Rhadamanthys . Vo väčšine prípadov je konečným cieľom nasadenie ransomvéru a vynútenie platby výkupného.
Trojanizované aplikácie ako kľúčový vstupný bod
Ďalšou bežne používanou metódou je maskovanie malvéru ako legitímneho softvéru. EncryptHub distribuuje falošné verzie aplikácií ako QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 a Palo Alto Global Protect. Po nainštalovaní tieto falošné aplikácie spustia viacstupňový proces, ktorý nakoniec doručí nebezpečné užitočné zaťaženia, ako je Kematian Stealer, na zhromažďovanie súborov cookie prehliadača a iných citlivých údajov.
LabInstalls: Rozhodujúci prvok v distribúcii škodlivého softvéru
Minimálne od 2. januára 2025 sa EncryptHub spolieha na LabInstalls, službu PPI, ktorá ponúka hromadnú inštaláciu malvéru za poplatok. Ceny sa pohybujú od 10 USD za 100 kusov do 450 USD za 10 000 kusov. EncryptHub potvrdil svoje používanie služby tým, že zanechal pozitívnu spätnú väzbu na rusky hovoriacom podzemnom fóre, dokonca zdieľal snímku obrazovky ako dôkaz. To naznačuje, že aktér outsourcuje distribúciu, aby efektívnejšie škáloval svoje operácie.
EncryptRAT: Ďalší vývoj v oblasti počítačovej kriminality
EncryptHub aktívne vyvíja EncryptRAT, panel Command-and-Control (C2) určený na správu infikovaných systémov, vykonávanie vzdialených príkazov a prístup k ukradnutým údajom. Niektoré dôkazy naznačujú, že skupina môže plánovať komercializáciu tohto nástroja, čo môže zvýšiť jeho hrozbu pre podniky aj jednotlivcov.
Potreba bdelosti a proaktívnej obrany
Neustála adaptácia a vývoj EncryptHub zdôrazňuje naliehavú potrebu organizácií prijať viacvrstvové bezpečnostné stratégie. Neustále monitorovanie, proaktívne obranné opatrenia a školenia informovanosti používateľov sú nevyhnutné na zmiernenie rizík, ktoré predstavuje táto rastúca kybernetická hrozba.
