关键词 恶意软件
近期,以经济利益为驱动的威胁组织 EncryptHub 被曝通过精心策划的钓鱼攻击活动,部署信息窃取软件和勒索病毒。与此同时,该组织还在开发一款名为 EncryptRAT 的新工具。 网络安全公司 Outpost24 旗下 KrakenLabs 在一份报告中指出:“EncryptHub 通过分发木马化的应用程序版本,针对流行应用的用户发起攻击。此外,该威胁组织还利用了第三方 Pay-Per-Install(PPI)分发服务。”该组织因犯下操作安全错误而被视为一个松散的黑客团队,但其攻击活动中却融合了对流行安全漏洞的利用。 据瑞士网络安全公司 PRODAFT 分析,EncryptHub(也称 LARVA-208)大约在 2024 年 6 月底开始活跃。该组织采用多种手段,包括短信钓鱼(Smishing)和语音钓鱼(Vishing),诱骗目标用户安装远程监控与管理(RMM)软件。 PRODAFT 透露,EncryptHub 与 RansomHub 和 Blacksuit 勒索病毒组织有关联,并在过去九个月中,利用高级社会工程学手段,成功入侵了多个行业中的 618 个高价值目标。他们的典型攻击方式是创建一个针对目标组织的钓鱼网站,获取受害者的 VPN 凭据,随后冒充 IT 团队或技术支持人员致电受害者,要求其将信息输入钓鱼网站。如果是短信攻击,则会使用伪造的 Microsoft Teams 链接诱骗受害者访问钓鱼网站。
这些钓鱼网站通常托管在 Yalishand 等防弹主机服务提供商上。一旦获得访问权限,EncryptHub 会运行 PowerShell 脚本,部署 Fickle、StealC 和 Rhadamanthys 等窃密软件,最终目标往往是部署勒索病毒并索要赎金。 除此之外,EncryptHub 还通过伪装成合法软件的木马化应用程序进行初始访问。这些应用程序包括 QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022 和 Palo Alto Global Protect 的伪造版本。安装这些应用程序后,会触发一个多阶段过程,作为 Kematian Stealer 等下一阶段有效载荷的交付载体,用于窃取用户 Cookie。
自 2025 年 1 月 2 日起,EncryptHub 开始利用第三方 PPI 服务 LabInstalls 进行分发。该服务允许付费客户以 10 美元(100 次安装)至 450 美元(10,000 次安装)的价格批量安装恶意软件。Outpost24 表示,EncryptHub 在俄罗斯地下论坛 XSS 上对 LabInstalls 留下了正面评价,甚至包括一张截图作为使用该服务的证据。 与此同时,EncryptHub 也在不断调整其攻击链条,并开发了 EncryptRAT 等新工具。这是一款命令与控制(C2)面板,用于管理活跃感染、发布远程命令和访问窃取的数据。有迹象表明,该组织可能计划将该工具商业化。 Outpost24 强调:“EncryptHub 持续进化其战术,凸显了持续监控和主动防御措施的迫切需求。组织必须保持警惕,并采用多层安全策略,以减轻此类威胁带来的风险。” 来源:https://thehackernews.com/2025/03/encrypthub-deploys-ransomware-and.html 安全圈 网罗圈内热点 专注网络安全 实时资讯一手掌握! 好看你就分享 有用就点个赞 支持「安全圈」就点个三连吧! |
