以經(jīng)濟(jì)利益為驅(qū)動(dòng)的黑客組織EncryptHub正通過精心策劃的釣魚攻擊部署竊密程序和勒索軟件，同時(shí)還開發(fā)了一款名為EncryptRAT的新產(chǎn)品。

Outpost24 KrakenLabs在一份提交給The Hacker News的新報(bào)告中表示："EncryptHub通過分發(fā)木馬化版本，針對(duì)流行應(yīng)用的用戶發(fā)起攻擊。此外，該威脅攻擊者還使用了第三方的按安裝付費(fèi)（PPI）分發(fā)服務(wù)。"這家網(wǎng)絡(luò)安全公司將該威脅攻擊者描述為一個(gè)在操作安全方面存在錯(cuò)誤，并將針對(duì)流行安全漏洞的利用程序整合到攻擊活動(dòng)中的黑客組織。

EncryptHub也被瑞士網(wǎng)絡(luò)安全公司PRODAFT追蹤為L(zhǎng)ARVA-208，據(jù)評(píng)估該組織自2024年6月底開始活躍，并通過短信釣魚（smishing）和語音釣魚（vishing）等多種方式試圖誘騙目標(biāo)安裝遠(yuǎn)程監(jiān)控和管理（RMM）軟件。

該公司告訴The Hacker News，該魚叉式釣魚組織與RansomHub和Blacksuit勒索軟件組織有關(guān)聯(lián)，并利用先進(jìn)的社會(huì)工程技術(shù)滲透多個(gè)行業(yè)中的高價(jià)值目標(biāo)。

釣魚攻擊手法解析

PRODAFT表示："攻擊者通常會(huì)創(chuàng)建一個(gè)針對(duì)特定組織的釣魚網(wǎng)站，以獲取受害者的VPN憑證。然后，他們冒充IT團(tuán)隊(duì)或幫助臺(tái)，致電受害者并要求其在釣魚網(wǎng)站上輸入詳細(xì)信息以解決技術(shù)問題。如果攻擊通過短信而非電話進(jìn)行，則會(huì)使用偽造的Microsoft Teams鏈接來說服受害者。"

這些釣魚網(wǎng)站托管在像Yalishand這樣的防彈主機(jī)服務(wù)提供商上。一旦成功獲取訪問權(quán)限，EncryptHub便會(huì)運(yùn)行PowerShell腳本，進(jìn)而部署諸如Fickle、StealC和Rhadamanthys等竊密惡意軟件。大多數(shù)情況下，攻擊的最終目的是部署勒索軟件并索取贖金。

木馬化應(yīng)用與PPI服務(wù)

威脅攻擊者常用的另一種方法是使用偽裝成合法軟件的帶有木馬程序的應(yīng)用進(jìn)行初始訪問。這些假冒軟件包括QQ Talk、QQ Installer、微信、釘釘、VooV Meeting、Google Meet、Microsoft Visual Studio 2022和Palo Alto Global Protect等。

一旦安裝這些帶有陷阱的應(yīng)用，便會(huì)觸發(fā)多階段進(jìn)程，這些進(jìn)程充當(dāng)了下一階段有效載荷的傳播媒介，比如Kematian Stealer，以協(xié)助竊取Cookies。

自2025年1月2日起，EncryptHub分發(fā)鏈中的關(guān)鍵組成部分便是使用了一款名為L(zhǎng)abInstalls的第三方PPI服務(wù)。該服務(wù)為付費(fèi)客戶提供批量惡意軟件安裝服務(wù)，價(jià)格從100次安裝的40美元到10000次安裝的450美元不等。

Outpost24表示："EncryptHub確實(shí)通過在頂級(jí)俄語地下論壇XSS的LabInstalls銷售主題中留下正面反饋確認(rèn)了其客戶身份，甚至包含了一張證明使用該服務(wù)的截圖。該威脅攻擊者很可能雇傭這項(xiàng)服務(wù)以減輕分發(fā)負(fù)擔(dān)并擴(kuò)大其惡意軟件所能觸及的目標(biāo)數(shù)量。"

EncryptHub的持續(xù)演變

這些變化突顯了EncryptHub對(duì)其攻擊鏈的積極調(diào)整。該威脅攻擊者還開發(fā)了新的組件，如EncryptRAT，一款用于管理活躍感染、發(fā)布遠(yuǎn)程命令和訪問被盜數(shù)據(jù)的命令與控制（C2）面板。有證據(jù)表明，對(duì)手可能正在尋求對(duì)該工具進(jìn)行商業(yè)化。

該公司表示："EncryptHub持續(xù)演變其戰(zhàn)術(shù)，強(qiáng)調(diào)了持續(xù)監(jiān)控和主動(dòng)防御措施的迫切需要。各組織必須保持警惕，并采用多層安全策略，以減輕此類對(duì)手帶來的風(fēng)險(xiǎn)。"