EncryptRAT
EncryptHub olarak bilinen finansal olarak motive olmuş tehdit aktörü, bilgi hırsızları ve fidye yazılımları dağıtmak için gelişmiş kimlik avı kampanyalarını aktif olarak düzenliyor. Ayrıca grup, siber suç ortamındaki sürekli evrimini işaret eden EncryptRAT adlı yeni bir tehdit aracı üzerinde çalışıyor.
İçindekiler
Popüler Uygulamaları Hedefleme ve PPI Hizmetlerini Kullanma
EncryptHub'ın kurbanların sistemlerine sızmak için yaygın olarak kullanılan uygulamaların truva atı sürümlerini dağıttığı gözlemlendi. Grup ayrıca kötü amaçlı yazılım kampanyalarının kapsamını genişletmek için LabInstalls gibi üçüncü taraf Pay-Per-Install (PPI) hizmetlerinden de yararlanıyor.
Operasyonel Güvenlik Hataları ve Exploit Kullanımı
Siber güvenlik araştırmacıları, EncryptHub'ı sıklıkla operasyonel güvenlik hataları yapan bir hacker grubu olarak tanımladılar. Bu hatalara rağmen, grup yaygın olarak bilinen güvenlik açıklarına yönelik istismarları saldırılarına başarıyla entegre ederek onları kalıcı bir tehdit haline getiriyor.
Ortaya Çıkan Tehdit: LARVA-208 ve Çok Kanallı Saldırılar
İsviçreli bir siber güvenlik firması tarafından LARVA-208 olarak da takip edilen EncryptHub'ın Haziran 2024'te aktif hale geldiği düşünülüyor. Grup, kurbanları Uzaktan İzleme ve Yönetim (RMM) yazılımı yüklemeye kandırmak için SMS kimlik avı (smishing) ve ses kimlik avı (vishing) dahil olmak üzere çeşitli saldırı vektörleri kullanıyor.
Büyük Fidye Yazılımı Gruplarıyla Bağlantılar
EncryptHub, RansomHub ve Blacksuit Ransomware gruplarıyla güçlü bağlara sahiptir. Son dokuz ayda, gelişmiş sosyal mühendislik tekniklerini kullanarak birden fazla sektörde 618'den fazla yüksek değerli hedefi tehlikeye attı. Yaygın bir taktik, VPN kimlik bilgilerini çalmak için tasarlanmış kimlik avı web sitelerini ve ardından kurbanları bilgilerini girmeye ikna etmek için BT desteğini taklit eden bir çağrıyı içerir. Çağrıların kullanılmadığı durumlarda, sahte Microsoft Teams bağlantıları yem görevi görür.
Kurşun Geçirmez Barındırma ve Kötü Amaçlı Yazılım Dağıtımı
Tespit edilmekten kaçınmak için EncryptHub, Yalishand gibi kurşun geçirmez barındırma sağlayıcılarında kimlik avı sitelerine ev sahipliği yapar. Erişim sağlandıktan sonra saldırgan, Fickle , StealC ve Rhadamanthys gibi hırsız kötü amaçlı yazılımları yüklemek için PowerShell betiklerini çalıştırır. Çoğu durumda, nihai amaç fidye yazılımı dağıtmak ve fidye ödemesi almaktır.
Anahtar Giriş Noktası Olarak Truva Atı Uygulamaları
Yaygın olarak kullanılan bir diğer yöntem, kötü amaçlı yazılımları meşru yazılım olarak gizlemeyi içerir. EncryptHub, QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 ve Palo Alto Global Protect gibi uygulamaların sahte sürümlerini dağıtmaktadır. Bu sahte uygulamalar yüklendikten sonra çok aşamalı bir süreci başlatır ve sonunda tarayıcı çerezlerini ve diğer hassas verileri toplamak için Kematian Stealer gibi güvenli olmayan yükler sunar.
LabInstalls: Kötü Amaçlı Yazılım Dağıtımında Önemli Bir Unsur
En azından 2 Ocak 2025'ten beri EncryptHub, toplu kötü amaçlı yazılım yüklemeyi ücret karşılığında sunan bir PPI hizmeti olan LabInstalls'a güveniyor. Fiyatlar 100 yükleme için 10 dolardan 10.000 yükleme için 450 dolara kadar değişiyor. EncryptHub, Rusça konuşan bir yeraltı forumunda olumlu geri bildirim bırakarak ve hatta kanıt olarak bir ekran görüntüsü paylaşarak hizmeti kullandığını doğruladı. Bu, aktörün operasyonlarını daha verimli bir şekilde ölçeklendirmek için dağıtımı dış kaynak kullandığını gösteriyor.
EncryptRAT: Siber Suçta Bir Sonraki Evrim
EncryptHub, enfekte olmuş sistemleri yönetmek, uzaktan komutları yürütmek ve çalınan verilere erişmek için tasarlanmış bir Komuta ve Kontrol (C2) paneli olan EncryptRAT'ı aktif olarak geliştiriyor. Bazı kanıtlar, grubun bu aracı ticarileştirmeyi planladığını ve bunun işletmeler ve bireyler için tehdit oluşturma potansiyelini artırdığını gösteriyor.
Dikkatli Olma ve Proaktif Savunmaya İhtiyaç Var
EncryptHub'ın sürekli adaptasyonu ve evrimi, kuruluşların çok katmanlı güvenlik stratejileri benimsemeleri için acil ihtiyacı vurgulamaktadır. Sürekli izleme, proaktif savunma önlemleri ve kullanıcı farkındalık eğitimi, bu büyüyen siber tehdidin oluşturduğu riskleri azaltmak için olmazsa olmazdır.
