EncryptHub 利用被植入木马的应用程序、PPI 服务和网络钓鱼部署勒索软件

以经济利益为驱动的威胁行为者 EncryptHub 被发现正开展复杂的网络钓鱼活动来部署窃密程序和勒索软件，同时还研发了一种名为 EncryptRAT 的新产品。

“有观察发现 EncryptHub 通过分发热门应用的被植入木马的版本来攻击其用户，此外，该威胁行为者还利用了第三方‘按安装量付费’（PPI）分发服务”，Outpost24 KrakenLabs 在一份报告中表示。

该网络犯罪公司称，该威胁行为者是一个会犯下运营安全错误的黑客组织，并且会在其攻击活动中融入针对热门安全漏洞的利用方法。

EncryptHub 还被瑞士网络安全公司 PRODAFT 追踪为 LARVA-208，据评估，它于 2024 年 6 月末开始活跃，采取从短信网络钓鱼（smishing）到语音网络钓鱼（vishing）等多种方式，企图诱骗潜在目标安装远程监控和管理（RMM）软件。

该公司告诉 The Hacker News，这个鱼叉式网络钓鱼组织与 RansomHub 和 Blacksuit 勒索软件组织有关联，且一直在使用高级社会工程学手段攻击多个行业的高价值目标。

“该行为者通常会创建一个针对组织的钓鱼网站来获取受害者的 VPN 凭证，随后会给受害者打电话，以 IT 团队或技术支持的身份要求受害者将详细信息输入钓鱼网站，以解决技术问题。如果针对受害者的攻击不是电话，而是一条直接发送的短信，那么就会使用一个伪造的 Microsoft Teams 链接来说服受害者。”

这些钓鱼网站托管在像 Yalishand 这样的防弹托管服务提供商上。一旦获得访问权限，EncryptHub 就会运行导致部署窃密程序（如 Fickle、StealC 和 Rhadamanthys）的 PowerShell 脚本。大多数情况下，这些攻击的最终目的是投放勒索软件并索要赎金。

威胁行为者采用的另一种常见方法是使用伪装成合法软件的被植入木马的应用程序以获取初始访问权限。这些包括 QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022 和 Palo Alto Global Protect 的假冒版本。

一旦这些带有陷阱的应用程序被安装，就会触发一个多阶段进程，充当交付下一阶段有效载荷（如 Kematian 盗窃程序）的载体，以方便窃取 Cookie。

自 2025 年 1 月 2 日起，EncryptHub 分发链的一个关键组成部分是使用第三方 PPI 服务，名为 LabInstalls，该服务为付费客户（起价为 10 美元（100 次安装量）至 450 美元（10,000 次安装量））提供批量恶意软件安装便利。

“EncryptHub 确实通过在顶级俄语地下论坛 XSS 上的 LabInstalls 销售帖子中留下好评反馈来确认自己是他们的客户，甚至还包含了一张证明使用该服务的截图”，Outpost24 表示。

“该威胁行为者很可能是雇佣这项服务来减轻分发负担，并扩大其恶意软件能够触达的目标数量。”

这些变化突显了 EncryptHub 攻击链的积极调整，同时该威胁行为者还在开发像 EncryptRAT 这样的新组件，这是一种用于管理活动感染、发布远程命令和访问被盗数据的命令与控制（C2）面板。有迹象表明，该对手可能正打算将这一工具商业化。

“EncryptHub 继续演变其战术，这强调了持续监控和积极防御措施的必要性”，该公司称，“组织必须保持警惕，并采用多层次安全策略来缓解此类对手带来的风险。”

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；