EncryptRAT
Finančno motiviran igralec groženj, znan kot EncryptHub, je aktivno orkestriral napredne kampanje lažnega predstavljanja, da bi uvedel kraje informacij in izsiljevalsko programsko opremo. Poleg tega skupina dela na novem orodju za grožnje, imenovanem EncryptRAT, ki nakazuje njegov nenehni razvoj na področju kibernetske kriminalitete.
Kazalo
Ciljanje na priljubljene aplikacije in uporaba storitev PPI
Opazili so, da EncryptHub distribuira trojanske različice pogosto uporabljenih aplikacij za infiltracijo v sisteme žrtev. Skupina izkorišča tudi storitve plačila na namestitev (PPI) tretjih oseb, kot je LabInstalls, da razširijo doseg svojih kampanj zlonamerne programske opreme.
Varnostne napake pri delovanju in uporaba izkoriščanja
Raziskovalci kibernetske varnosti so EncryptHub identificirali kot hekersko skupino, ki pogosto povzroča napake pri delovanju varnosti. Kljub tem napakam skupina uspešno integrira izkoriščanja splošno znanih varnostnih ranljivosti v svoje napade, zaradi česar postanejo stalna grožnja.
Nastajajoča grožnja: LARVA-208 in večkanalni napadi
EncryptHub, ki ga spremlja tudi švicarsko podjetje za kibernetsko varnost kot LARVA-208, naj bi postal aktiven junija 2024. Skupina uporablja različne vektorje napadov, vključno z lažnim predstavljanjem SMS (smishing) in glasovnim lažnim predstavljanjem (vising), da žrtve zavede, da namestijo programsko opremo za oddaljeni nadzor in upravljanje (RMM).
Povezave z večjimi skupinami izsiljevalske programske opreme
EncryptHub ima močne vezi s skupinama RansomHub in Blacksuit Ransomware . V zadnjih devetih mesecih je z uporabo naprednih tehnik socialnega inženiringa ogrozil več kot 618 ciljev visoke vrednosti v več panogah. Običajna taktika vključuje lažna spletna mesta, ki so namenjena kraji poverilnic VPN, čemur sledi klic, ki lažno predstavlja IT podporo, da se žrtve prepriča, da vnesejo svoje podatke. V primerih, ko se klici ne uporabljajo, lažne povezave Microsoft Teams služijo kot vaba.
Neprebojno gostovanje in namestitev zlonamerne programske opreme
Da bi se izognil odkrivanju, EncryptHub gosti lažna spletna mesta pri neprebojnih ponudnikih gostovanja, kot je Yalishand. Ko pridobi dostop, napadalec izvede skripte PowerShell za namestitev zlonamerne programske opreme, kot so Fickle , StealC in Rhadamanthys . V večini primerov je končni cilj namestitev izsiljevalske programske opreme in izsiljevanje plačila odkupnine.
Trojanizirane aplikacije kot ključna vstopna točka
Druga pogosto uporabljena metoda vključuje prikrivanje zlonamerne programske opreme kot zakonite programske opreme. EncryptHub je distribuiral lažne različice aplikacij, kot so QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 in Palo Alto Global Protect. Ko so te ponarejene aplikacije nameščene, sprožijo večstopenjski postopek in sčasoma dostavijo nevarne obremenitve, kot je Kematian Stealer, za zbiranje piškotkov brskalnika in drugih občutljivih podatkov.
LabInstalls: ključni element pri distribuciji zlonamerne programske opreme
Vsaj od 2. januarja 2025 se EncryptHub zanaša na LabInstalls, storitev PPI, ki ponuja množično namestitev zlonamerne programske opreme za plačilo. Cene se gibljejo od 10 USD za 100 obremenitev do 450 USD za 10.000 obremenitev. EncryptHub je potrdil svojo uporabo storitve tako, da je pustil pozitivne povratne informacije na rusko govorečem podzemnem forumu in celo delil posnetek zaslona kot dokaz. To nakazuje, da akter oddaja distribucijo zunanjim izvajalcem, da bi učinkoviteje razširil svoje operacije.
EncryptRAT: Naslednja evolucija kibernetske kriminalitete
EncryptHub aktivno razvija EncryptRAT, ploščo za ukaze in nadzor (C2), zasnovano za upravljanje okuženih sistemov, izvajanje oddaljenih ukazov in dostop do ukradenih podatkov. Nekateri dokazi kažejo, da skupina morda načrtuje komercializacijo tega orodja, kar bi lahko povečalo njegovo grožnjo tako podjetjem kot posameznikom.
Potreba po budnosti in proaktivni obrambi
Nenehno prilagajanje in razvoj EncryptHuba poudarjata nujno potrebo, da organizacije sprejmejo večplastne varnostne strategije. Stalno spremljanje, proaktivni obrambni ukrepi in usposabljanje za ozaveščanje uporabnikov so bistvenega pomena za ublažitev tveganj, ki jih predstavlja ta rastoča kibernetska grožnja.
