EncryptRAT
Финансијски мотивисани актер претњи, познат као ЕнцриптХуб, активно је организовао напредне пхисхинг кампање за примену крадљиваца информација и рансомваре-а. Поред тога, група ради на новом претећем алату под називом ЕнцриптРАТ, сигнализирајући његову континуирану еволуцију у окружењу сајбер криминала.
Преглед садржаја
Циљање популарних апликација и коришћење ППИ услуга
ЕнцриптХуб је примећен како дистрибуира тројанизоване верзије широко коришћених апликација за инфилтрирање у системе жртава. Група такође користи услуге треће стране Паи-Пер-Инсталл (ППИ), као што је ЛабИнсталл, да прошири домет својих кампања против малвера.
Оперативне безбедносне грешке и коришћење експлоатације
Истраживачи сајбер безбедности идентификовали су ЕнцриптХуб као хакерску групу која често прави оперативне безбедносне грешке. Упркос овим грешкама, група успешно интегрише експлоатације за опште познате безбедносне пропусте у своје нападе, чинећи их трајном претњом.
Нова претња: ЛАРВА-208 и вишеканални напади
Такође, праћен од стране швајцарске фирме за сајбер безбедност као ЛАРВА-208, верује се да је ЕнцриптХуб постао активан у јуну 2024. Група користи различите векторе напада, укључујући СМС пхисхинг (смисхинг) и гласовну пхисхинг (висхинг), како би преварила жртве да инсталирају софтвер за даљинско праћење и управљање (РММ).
Повезаност са главним групама рансомвера
ЕнцриптХуб има јаке везе са групама РансомХуб и Блацксуит Рансомваре . Током протеклих девет месеци, компромитовао је више од 618 циљева високе вредности у више индустрија користећи напредне технике друштвеног инжењеринга. Уобичајена тактика укључује пхисхинг веб локације дизајниране да украду ВПН акредитиве, након чега следи позив који се представља као ИТ подршка како би се жртве убедиле да унесу своје податке. У случајевима када се позиви не користе, лажне Мицрософт Теамс везе служе као мамац.
Непробојни хостинг и примена малвера
Да би избегао откривање, ЕнцриптХуб хостује пхисхинг сајтове на непробојним хостинг провајдерима као што је Иалисханд. Када добије приступ, нападач извршава ПоверСхелл скрипте за инсталирање малвера за крађу као што су Фицкле , СтеалЦ и Рхадамантхис . У већини случајева, крајњи циљ је постављање рансомваре-а и изнуђивање плаћања откупнине.
Тројанизоване апликације као кључна улазна тачка
Друга често коришћена метода укључује прикривање злонамерног софтвера као легитимног софтвера. ЕнцриптХуб дистрибуира лажне верзије апликација као што су КК Талк, КК Инсталлер, ВеЦхат, ДингТалк, ВооВ Меетинг, Гоогле Меет, Мицрософт Висуал Студио 2022 и Пало Алто Глобал Протецт. Једном инсталиране, ове фалсификоване апликације покрећу процес у више фаза, на крају испоручујући небезбедно оптерећење као што је Кематиан Стеалер за прикупљање колачића претраживача и других осетљивих података.
ЛабИнсталс: кључни елемент у дистрибуцији злонамерног софтвера
Најмање од 2. јануара 2025. ЕнцриптХуб се ослања на ЛабИнсталлс, ППИ услугу која нуди масовну инсталацију малвера уз накнаду. Цене се крећу од 10 долара за 100 утовара до 450 долара за 10.000 утовара. ЕнцриптХуб је потврдио да користи услугу остављајући позитивне повратне информације на подземном форуму на руском говорном подручју, чак је поделио и снимак екрана као доказ. Ово сугерише да актер ангажује дистрибуцију да би ефикасније повећао своје пословање.
ЕнцриптРАТ: Следећа еволуција у сајбер криминалу
ЕнцриптХуб активно развија ЕнцриптРАТ, панел за команду и контролу (Ц2) дизајниран за управљање зараженим системима, извршавање даљинских команди и приступ украденим подацима. Неки докази сугеришу да група можда планира да комерцијализује овај алат, потенцијално повећавајући његову претњу и предузећима и појединцима.
Потреба за будношћу и проактивном одбраном
ЕнцриптХуб-ово континуирано прилагођавање и еволуција наглашава хитну потребу да организације усвоје вишеслојне безбедносне стратегије. Стално праћење, проактивне мере одбране и обука за подизање свести корисника су од суштинског значаја за ублажавање ризика које представља ова растућа сајбер претња.
