EncryptRAT

Nhóm đe dọa có động cơ tài chính được gọi là EncryptHub đã tích cực dàn dựng các chiến dịch lừa đảo nâng cao để triển khai phần mềm đánh cắp thông tin và phần mềm tống tiền. Ngoài ra, nhóm này đang phát triển một công cụ đe dọa mới có tên là EncryptRAT, báo hiệu sự phát triển liên tục của nó trong bối cảnh tội phạm mạng.

Nhắm mục tiêu vào các ứng dụng phổ biến và sử dụng dịch vụ PPI

EncryptHub đã bị phát hiện phân phối các phiên bản trojan hóa của các ứng dụng được sử dụng rộng rãi để xâm nhập vào hệ thống của nạn nhân. Nhóm này cũng tận dụng các dịch vụ Pay-Per-Install (PPI) của bên thứ ba, chẳng hạn như LabInstalls, để mở rộng phạm vi tiếp cận của các chiến dịch phần mềm độc hại của họ.

Sai lầm bảo mật hoạt động và khai thác

Các nhà nghiên cứu an ninh mạng đã xác định EncryptHub là một nhóm tin tặc thường xuyên mắc lỗi bảo mật hoạt động. Bất chấp những lỗi này, nhóm này vẫn tích hợp thành công các khai thác lỗ hổng bảo mật được biết đến rộng rãi vào các cuộc tấn công của mình, khiến chúng trở thành mối đe dọa dai dẳng.

Mối đe dọa mới nổi: LARVA-208 và các cuộc tấn công đa kênh

Cũng được một công ty an ninh mạng của Thụy Sĩ theo dõi với mã hiệu LARVA-208, EncryptHub được cho là đã hoạt động vào tháng 6 năm 2024. Nhóm này sử dụng nhiều phương thức tấn công khác nhau, bao gồm lừa đảo qua tin nhắn SMS (smishing) và lừa đảo qua giọng nói (vishing), để lừa nạn nhân cài đặt phần mềm Giám sát và Quản lý từ xa (RMM).

Liên kết với các nhóm Ransomware lớn

EncryptHub có mối quan hệ chặt chẽ với các nhóm RansomHub và Blacksuit Ransomware . Trong chín tháng qua, nhóm này đã xâm phạm hơn 618 mục tiêu có giá trị cao trên nhiều ngành công nghiệp bằng các kỹ thuật kỹ thuật xã hội tiên tiến. Một chiến thuật phổ biến bao gồm các trang web lừa đảo được thiết kế để đánh cắp thông tin đăng nhập VPN, sau đó là một cuộc gọi giả mạo bộ phận hỗ trợ CNTT để thuyết phục nạn nhân nhập thông tin chi tiết của họ. Trong trường hợp không sử dụng cuộc gọi, các liên kết Microsoft Teams giả mạo sẽ đóng vai trò là mồi nhử.

Bulletproof Hosting và Triển khai phần mềm độc hại

Để tránh bị phát hiện, EncryptHub lưu trữ các trang web lừa đảo trên các nhà cung cấp dịch vụ lưu trữ chống đạn như Yalishand. Sau khi có được quyền truy cập, kẻ tấn công sẽ thực thi các tập lệnh PowerShell để cài đặt phần mềm độc hại đánh cắp như Fickle , StealC và Rhadamanthys . Trong hầu hết các trường hợp, mục tiêu cuối cùng là triển khai phần mềm tống tiền và tống tiền.

Các ứng dụng Trojanized như một điểm vào quan trọng

Một phương pháp thường được sử dụng khác là ngụy trang phần mềm độc hại thành phần mềm hợp pháp. EncryptHub đã phân phối các phiên bản giả mạo của các ứng dụng như QQ Talk, QQ Installer, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 và Palo Alto Global Protect. Sau khi cài đặt, các ứng dụng giả mạo này sẽ bắt đầu một quy trình nhiều giai đoạn, cuối cùng là phân phối các tải trọng không an toàn như Kematian Stealer để thu thập cookie trình duyệt và các dữ liệu nhạy cảm khác.

LabInstalls: Một thành phần quan trọng trong việc phân phối phần mềm độc hại

Kể từ ít nhất ngày 2 tháng 1 năm 2025, EncryptHub đã dựa vào LabInstalls, một dịch vụ PPI cung cấp dịch vụ cài đặt phần mềm độc hại hàng loạt có tính phí. Giá dao động từ 10 đô la cho 100 lần tải đến 450 đô la cho 10.000 lần tải. EncryptHub đã xác nhận việc sử dụng dịch vụ này bằng cách để lại phản hồi tích cực trên một diễn đàn ngầm nói tiếng Nga, thậm chí còn chia sẻ ảnh chụp màn hình làm bằng chứng. Điều này cho thấy tác nhân này đang thuê ngoài việc phân phối để mở rộng hoạt động của mình hiệu quả hơn.

EncryptRAT: Sự phát triển tiếp theo của tội phạm mạng

EncryptHub đang tích cực phát triển EncryptRAT, một bảng điều khiển Command-and-Control (C2) được thiết kế để quản lý các hệ thống bị nhiễm, thực hiện các lệnh từ xa và truy cập dữ liệu bị đánh cắp. Một số bằng chứng cho thấy nhóm này có thể đang có kế hoạch thương mại hóa công cụ này, có khả năng làm tăng mối đe dọa đối với cả doanh nghiệp và cá nhân.

Cần phải cảnh giác và phòng thủ chủ động

Sự thích ứng và phát triển liên tục của EncryptHub làm nổi bật nhu cầu cấp thiết của các tổ chức trong việc áp dụng các chiến lược bảo mật nhiều lớp. Giám sát liên tục, các biện pháp phòng thủ chủ động và đào tạo nhận thức của người dùng là điều cần thiết để giảm thiểu rủi ro do mối đe dọa mạng ngày càng gia tăng này gây ra.