EncryptRAT
Фінансово вмотивований загрозник, відомий як EncryptHub, активно організовує передові фішингові кампанії для розгортання викрадачів інформації та програм-вимагачів. Крім того, група працює над новим загрозливим інструментом під назвою EncryptRAT, що свідчить про постійну еволюцію кіберзлочинності.
Зміст
Націлювання на популярні програми та використання служб PPI
Було помічено, що EncryptHub поширює троянські версії широко використовуваних програм для проникнення в системи жертв. Група також використовує сторонні послуги з оплатою за встановлення (PPI), такі як LabInstalls, щоб розширити охоплення своїх кампаній зі зловмисним програмним забезпеченням.
Помилки операційної безпеки та використання експлойтів
Дослідники з кібербезпеки визначили EncryptHub як хакерську групу, яка часто допускає помилки операційної безпеки. Незважаючи на ці помилки, група успішно інтегрує експлойти для широко відомих вразливостей безпеки у свої атаки, що робить їх постійною загрозою.
Нова загроза: LARVA-208 і багатоканальні атаки
Вважається, що EncryptHub, який також відстежується швейцарською фірмою з кібербезпеки під назвою LARVA-208, став активним у червні 2024 року. Група використовує різні вектори атак, у тому числі SMS-фішинг (смішинг) і голосовий фішинг (вішинг), щоб обманом змусити жертв встановити програмне забезпечення віддаленого моніторингу та керування (RMM).
Приналежність до основних груп програм-вимагачів
EncryptHub має тісні зв’язки з групами програм-вимагачів RansomHub і Blacksuit . За останні дев’ять місяців він скомпрометував понад 618 цінних цілей у багатьох галузях за допомогою передових методів соціальної інженерії. Поширена тактика включає фішингові веб-сайти, призначені для викрадення облікових даних VPN, після чого здійснюється дзвінок, який видає себе за ІТ-службу, щоб переконати жертв ввести свої дані. У випадках, коли дзвінки не використовуються, підроблені посилання Microsoft Teams служать приманкою.
Куленепробивний хостинг і розгортання зловмисного програмного забезпечення
Щоб уникнути виявлення, EncryptHub розміщує фішингові сайти на куленепробивних хостинг-провайдерах, таких як Yalishand. Отримавши доступ, зловмисник виконує сценарії PowerShell, щоб інсталювати зловмисне програмне забезпечення, таке як Fickle , StealC і Rhadamanthys . У більшості випадків кінцевою метою є розгортання програми-вимагача та вимагання викупу.
Троянські додатки як ключова точка входу
Інший поширений метод передбачає маскування зловмисного програмного забезпечення під легальне програмне забезпечення. EncryptHub поширював підроблені версії програм, таких як QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 і Palo Alto Global Protect. Після встановлення ці підроблені програми ініціюють багатоетапний процес, зрештою доставляючи небезпечні корисні навантаження, як-от Kematian Stealer, для збору файлів cookie браузера та інших конфіденційних даних.
LabInstalls: вирішальний елемент у розповсюдженні шкідливих програм
Принаймні з 2 січня 2025 року EncryptHub покладається на LabInstalls, службу PPI, яка пропонує масове встановлення зловмисного програмного забезпечення за окрему плату. Ціни коливаються від 10 доларів за 100 завантажень до 450 доларів за 10 000 завантажень. EncryptHub підтвердив використання сервісу, залишивши позитивний відгук на російськомовному андеграундному форумі, навіть опублікувавши скріншот як доказ. Це означає, що актор передає дистрибуцію на аутсорсинг, щоб ефективніше масштабувати свою діяльність.
EncryptRAT: наступна еволюція кіберзлочинності
EncryptHub активно розробляє EncryptRAT, панель керування (C2), призначену для керування зараженими системами, виконання віддалених команд і доступу до вкрадених даних. Деякі дані свідчать про те, що група, можливо, планує комерціалізувати цей інструмент, потенційно посилюючи його загрозу як для компаній, так і для окремих осіб.
Необхідність пильності та проактивного захисту
Постійна адаптація та еволюція EncryptHub підкреслюють нагальну потребу організацій у прийнятті багаторівневих стратегій безпеки. Постійний моніторинг, проактивні заходи захисту та навчання користувачів мають важливе значення для пом’якшення ризиків, пов’язаних із цією зростаючою кіберзагрозою.
