EncryptRAT

以经济为目的的威胁行为者 EncryptHub 一直在积极策划高级网络钓鱼活动，以部署信息窃取程序和勒索软件。此外，该组织正在开发一种名为 EncryptRAT 的新型威胁工具，这表明其在网络犯罪领域不断演变。

瞄准热门应用程序并使用 PPI 服务

据观察，EncryptHub 会分发广泛使用的应用程序的木马版本，以渗透受害者的系统。该组织还利用第三方按安装付费 (PPI) 服务（例如 LabInstalls）来扩大其恶意软件活动的覆盖范围。

操作安全错误和漏洞利用

网络安全研究人员已发现 EncryptHub 是一个经常犯操作安全错误的黑客组织。尽管犯了这些错误，该组织仍成功地将针对众所周知的安全漏洞的攻击整合到其攻击中，使其成为持续威胁。

新兴威胁：LARVA-208 和多通道攻击

EncryptHub 也被瑞士网络安全公司追踪为 LARVA-208，据信于 2024 年 6 月开始活跃。该组织采用各种攻击媒介，包括短信网络钓鱼 (smishing) 和语音网络钓鱼 (vishing)，诱骗受害者安装远程监控和管理 (RMM) 软件。

与主要勒索软件组织的联系

EncryptHub 与RansomHub和Blacksuit 勒索软件组织关系密切。在过去九个月中，该组织利用先进的社交工程技术，入侵了多个行业的 618 多个高价值目标。一种常见的策略是利用钓鱼网站窃取 VPN 凭据，然后假冒 IT 支持人员拨打电话，诱骗受害者输入详细信息。在不使用电话的情况下，假冒的 Microsoft Teams 链接会充当诱饵。

防弹托管和恶意软件部署

为了逃避检测，EncryptHub 将钓鱼网站托管在 Yalishand 等防弹托管服务提供商上。一旦获得访问权限，攻击者就会执行 PowerShell 脚本来安装窃取恶意软件，例如Fickle 、 StealC和Rhadamanthys 。在大多数情况下，最终目的是部署勒索软件并勒索赎金。

被木马感染的应用程序是关键入口点

另一种常用的方法是将恶意软件伪装成合法软件。EncryptHub 一直在分发 QQ Talk、QQ Installer、微信、DingTalk、VooV Meeting、Google Meet、Microsoft Visual Studio 2022 和 Palo Alto Global Protect 等应用程序的假冒版本。安装后，这些假冒应用程序会启动一个多阶段的过程，最终传递不安全的有效负载（如 Kematian Stealer）来收集浏览器 cookie 和其他敏感数据。

LabInstalls：恶意软件传播的关键元素

自 2025 年 1 月 2 日起，EncryptHub 一直依赖 LabInstalls，这是一项收费的 PPI 服务，提供批量恶意软件安装服务。价格从 100 次加载 10 美元到 10,000 次加载 450 美元不等。EncryptHub 在一个俄语地下论坛上留下了积极的反馈，甚至分享了截图作为证据，证实了它使用了这项服务。这表明该攻击者正在外包分发，以更有效地扩大其运营规模。

EncryptRAT：网络犯罪的下一个演变

EncryptHub 正在积极开发 EncryptRAT，这是一种命令与控制 (C2) 面板，旨在管理受感染的系统、执行远程命令和访问被盗数据。有证据表明，该组织可能计划将此工具商业化，这可能会增加其对企业和个人的威胁。

需要保持警惕并主动防御

EncryptHub 的不断适应和发展凸显了组织采用多层安全策略的迫切需要。持续监控、主动防御措施和用户意识培训对于减轻这种日益严重的网络威胁带来的风险至关重要。