EncryptRAT

名為 EncryptHub 的威脅行為者出於經濟動機，一直在積極策劃高級網路釣魚活動，以部署資訊竊取程式和勒索軟體。此外，該組織還在研發一種名為 EncryptRAT 的新型威脅工具，這表明該組織在網路犯罪領域不斷演變。

瞄準熱門應用程式並使用 PPI 服務

據觀察，EncryptHub 會分發廣泛使用的應用程式的木馬版本，以滲透受害者的系統。該組織還利用第三方按安裝付費 (PPI) 服務（例如 LabInstalls）來擴大其惡意軟體活動的範圍。

操作安全錯誤和漏洞利用

網路安全研究人員已將 EncryptHub 認定為一個經常犯操作安全錯誤的駭客組織。儘管存在這些錯誤，該組織仍成功地將針對眾所周知的安全漏洞的攻擊融入其攻擊中，使其成為持續的威脅。

新興威脅：LARVA-208 和多通道攻擊

EncryptHub 也被瑞士網路安全公司追蹤為 LARVA-208，據信於 2024 年 6 月開始活躍。

與主要勒索軟體組織的聯繫

EncryptHub 與RansomHub和Blacksuit 勒索軟體組織關係密切。在過去的九個月中，它利用先進的社會工程技術攻擊了多個行業的 618 多個高價值目標。一個常見的策略是，利用釣魚網站竊取 VPN 憑證，然後冒充 IT 支援人員撥打電話，誘騙受害者輸入他們的詳細資料。在不使用電話的情況下，虛假的 Microsoft Teams 連結充當誘餌。

防彈託管和惡意軟體部署

為了逃避偵測，EncryptHub 將釣魚網站託管在 Yalishand 等防彈託管服務供應商上。一旦獲得存取權限，攻擊者就會執行 PowerShell 腳本來安裝竊取惡意軟體，例如Fickle 、 StealC和Rhadamanthys 。大多數情況下，最終目的是部署勒索軟體並勒索贖金。

被木馬感染的應用程式是關鍵入口點

另一種常用的方法是將惡意軟體偽裝成合法軟體。 EncryptHub 一直在分發 QQ Talk、QQ Installer、微信、DingTalk、VooV Meeting、Google Meet、Microsoft Visual Studio 2022 和 Palo Alto Global Protect 等應用程式的假版本。一旦安裝，這些假冒應用程式就會啟動一個多階段流程，最終傳遞不安全的有效載荷（如 Kematian Stealer）來收集瀏覽器 cookie 和其他敏感資料。

LabInstalls：惡意軟體傳播的關鍵元素

自 2025 年 1 月 2 日起，EncryptHub 一直依賴 LabInstalls，這是一項提供收費批量惡意軟體安裝的 PPI 服務。價格從100車10美元到10,000車450美元不等。 EncryptHub 在一個俄語地下論壇上留下了積極的回饋，甚至分享了截圖作為證據，證實了它使用了這項服務。這表明該參與者正在外包分銷，以便更有效地擴大其業務規模。

EncryptRAT：網路犯罪的下一個演變

EncryptHub 正在積極開發 EncryptRAT，這是一個命令與控制 (C2) 面板，旨在管理受感染的系統、執行遠端命令和存取被盜資料。一些證據表明該組織可能正計劃將該工具商業化，這可能會增加對企業和個人的威脅。

需要保持警覺並主動防禦

EncryptHub 的不斷適應和發展凸顯了組織採用多層安全策略的迫切需求。持續監控、主動防禦措施和使用者意識培訓對於減輕日益嚴重的網路威脅所帶來的風險至關重要。