EncryptRAT

EncryptHub ซึ่งเป็นกลุ่มผู้ก่ออาชญากรรมทางการเงิน ได้ดำเนินการอย่างแข็งขันในการจัดทำแคมเปญฟิชชิ่งขั้นสูงเพื่อขโมยข้อมูลและเรียกค่าไถ่ นอกจากนี้ กลุ่มดังกล่าวยังกำลังพัฒนาเครื่องมือคุกคามใหม่ที่เรียกว่า EncryptRAT ซึ่งเป็นสัญญาณบ่งชี้ถึงวิวัฒนาการอย่างต่อเนื่องของเครื่องมือนี้ในแวดวงอาชญากรรมทางไซเบอร์

การกำหนดเป้าหมายแอปพลิเคชันยอดนิยมและการใช้บริการ PPI

พบว่า EncryptHub เผยแพร่เวอร์ชันโทรจันของแอปพลิเคชันที่ใช้กันอย่างแพร่หลายเพื่อแทรกซึมเข้าสู่ระบบของเหยื่อ นอกจากนี้ กลุ่มนี้ยังใช้บริการ Pay-Per-Install (PPI) ของบุคคลที่สาม เช่น LabInstalls เพื่อขยายขอบเขตของแคมเปญมัลแวร์ของพวกเขา

ข้อผิดพลาดด้านความปลอดภัยในการปฏิบัติการและการใช้ประโยชน์

นักวิจัยด้านความปลอดภัยไซเบอร์ระบุว่า EncryptHub เป็นกลุ่มแฮกเกอร์ที่ทำผิดพลาดด้านความปลอดภัยในการทำงานบ่อยครั้ง แม้จะมีข้อผิดพลาดเหล่านี้ กลุ่มดังกล่าวก็ยังผสานช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จักกันอย่างแพร่หลายเข้ากับการโจมตีได้สำเร็จ ทำให้ช่องโหว่เหล่านี้กลายเป็นภัยคุกคามอย่างต่อเนื่อง

ภัยคุกคามใหม่: LARVA-208 และการโจมตีหลายช่องทาง

บริษัทรักษาความปลอดภัยทางไซเบอร์ของสวิสแห่งหนึ่งยังติดตาม EncryptHub ในชื่อ LARVA-208 โดยเชื่อว่าเริ่มมีการเคลื่อนไหวในเดือนมิถุนายน 2024 กลุ่มนี้ใช้ช่องทางโจมตีต่างๆ รวมถึง SMS phishing (smishing) และการฟิชชิ่งด้วยเสียง (vishing) เพื่อหลอกล่อเหยื่อให้ติดตั้งซอฟต์แวร์ Remote Monitoring and Management (RMM)

การมีส่วนเกี่ยวข้องกับกลุ่ม Ransomware หลัก

EncryptHub มีความสัมพันธ์อันแน่นแฟ้นกับกลุ่ม RansomHub และ Blacksuit Ransomware ในช่วงเก้าเดือนที่ผ่านมา EncryptHub โจมตีเป้าหมายมูลค่าสูงมากกว่า 618 รายในหลายอุตสาหกรรมโดยใช้เทคนิคทางวิศวกรรมสังคมขั้นสูง กลวิธีทั่วไปเกี่ยวข้องกับเว็บไซต์ฟิชชิ่งที่ออกแบบมาเพื่อขโมยข้อมูลรับรอง VPN ตามด้วยการโทรปลอมโดยแอบอ้างว่าเป็นฝ่ายสนับสนุนด้านไอทีเพื่อโน้มน้าวเหยื่อให้ป้อนข้อมูลของตน ในกรณีที่ไม่ได้ใช้การโทร ลิงก์ Microsoft Teams ปลอมจะทำหน้าที่เป็นเหยื่อล่อ

การโฮสต์ที่ป้องกันกระสุนและการปรับใช้มัลแวร์

EncryptHub โฮสต์เว็บไซต์ฟิชชิ่งบนผู้ให้บริการโฮสติ้งที่ป้องกันการโจมตี เช่น Yalishand เพื่อหลบเลี่ยงการตรวจจับ เมื่อเข้าถึงได้แล้ว ผู้โจมตีจะรันสคริปต์ PowerShell เพื่อติดตั้งมัลแวร์ขโมยข้อมูล เช่น Fickle , StealC และ Rhadamanthys ในกรณีส่วนใหญ่ เป้าหมายสูงสุดคือการใช้แรนซัมแวร์และเรียกค่าไถ่

แอปพลิเคชันที่ถูกแปลงเป็นโทรจันถือเป็นจุดเข้าหลัก

อีกวิธีหนึ่งที่ใช้กันทั่วไปคือการปลอมตัวมัลแวร์ให้เป็นซอฟต์แวร์ที่ถูกกฎหมาย EncryptHub ได้แจกจ่ายแอปพลิเคชันเวอร์ชันปลอม เช่น QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 และ Palo Alto Global Protect เมื่อติดตั้งแล้ว แอปพลิเคชันปลอมเหล่านี้จะเริ่มกระบวนการหลายขั้นตอน ซึ่งในที่สุดก็ส่งเพย์โหลดที่ไม่ปลอดภัย เช่น Kematian Stealer เพื่อรวบรวมคุกกี้เบราว์เซอร์และข้อมูลละเอียดอ่อนอื่นๆ

LabInstalls: องค์ประกอบสำคัญในการกระจายมัลแวร์

ตั้งแต่วันที่ 2 มกราคม 2025 เป็นอย่างน้อย EncryptHub ได้ใช้บริการ LabInstalls ซึ่งเป็นบริการ PPI ที่ให้บริการติดตั้งมัลแวร์จำนวนมากโดยมีค่าธรรมเนียม ราคาตั้งแต่ 10 ดอลลาร์สำหรับ 100 โหลดไปจนถึง 450 ดอลลาร์สำหรับ 10,000 โหลด EncryptHub ยืนยันการใช้บริการนี้โดยแสดงความคิดเห็นในเชิงบวกในฟอรัมใต้ดินที่พูดภาษารัสเซีย และยังแชร์ภาพหน้าจอเป็นหลักฐานด้วย ซึ่งแสดงให้เห็นว่าผู้กระทำความผิดกำลังทำการเอาท์ซอร์สการจัดจำหน่ายเพื่อขยายขนาดการดำเนินงานอย่างมีประสิทธิภาพมากขึ้น

EncryptRAT: วิวัฒนาการครั้งต่อไปของอาชญากรรมทางไซเบอร์

EncryptHub กำลังพัฒนา EncryptRAT อย่างจริงจัง ซึ่งเป็นแผงควบคุมและสั่งการ (C2) ที่ออกแบบมาเพื่อจัดการระบบที่ติดไวรัส ดำเนินการคำสั่งจากระยะไกล และเข้าถึงข้อมูลที่ขโมยมา มีหลักฐานบางอย่างที่บ่งชี้ว่ากลุ่มนี้อาจกำลังวางแผนที่จะนำเครื่องมือนี้ไปใช้ในเชิงพาณิชย์ ซึ่งอาจเพิ่มภัยคุกคามต่อธุรกิจและบุคคลทั่วไปได้

ความจำเป็นในการเฝ้าระวังและการป้องกันเชิงรุก

การปรับตัวและวิวัฒนาการอย่างต่อเนื่องของ EncryptHub เน้นย้ำถึงความจำเป็นเร่งด่วนที่องค์กรต่างๆ จะต้องนำกลยุทธ์ความปลอดภัยแบบหลายชั้นมาใช้ การติดตามอย่างต่อเนื่อง มาตรการป้องกันเชิงรุก และการฝึกอบรมให้ผู้ใช้ตระหนักรู้ ถือเป็นสิ่งสำคัญในการลดความเสี่ยงที่เกิดจากภัยคุกคามทางไซเบอร์ที่เพิ่มมากขึ้นนี้