一个名为“EncryptHub”的威胁者(又名“Larva-208”),一直以世界各地的组织为目标,通过鱼叉式网络钓鱼和社会工程攻击来访问企业网络。
根据Prodaft上周在内部发布的一份报告称,自2024年6月Encrypthub启动运营以来,它已经攻击了至少618个组织。
在获得访问权限后,威胁者安装远程监控和管理(RMM)软件,然后部署像Stealc和Rhadamanthys这样的信息窃取程序。在许多观察到的案例中,EncryptHub也会在受损的系统上部署勒索软件。
据悉,该威胁组织隶属于RansomHub和BlackSuit,过去曾部署过这两家勒索软件加密器,可能是它们的初始访问代理或直接附属机构。
获得初始访问权限
攻击者通常在给目标的消息中冒充IT支持人员,声称VPN访问有问题或他们的帐户存在安全问题,指示他们登录到一个网络钓鱼网站。
受害者收到链接,这些链接将他们重定向到网络钓鱼登录页面,在那里他们的凭据和多因素身份验证(MFA)令牌(会话cookie)被实时捕获。
网络钓鱼过程概述
EncryptHub已经购买了70多个模仿上述产品的域名,如“linkwebcisco.com”和“weblinkteams.com”,以增加人们对钓鱼网页的合法性认知。
这些钓鱼网站托管在像Yalishanda这样的可靠托管提供商上,ProDaft说,这些提供商通常不会对合理的删除请求做出回应。
Prodaft还发现了另一个名为larava -148的子组织,他们帮助购买用于网络钓鱼活动的域名,管理主机,并建立基础设施。
恶意软件部署
一旦EncryptHub入侵目标系统,它就会部署各种PowerShell脚本和恶意软件来获得持久性、远程访问、窃取数据和加密文件。
首先,他们会欺骗受害者安装RMM软件,如AnyDesk、TeamViewer、ScreenConnect、Atera和Splashtop。这使得他们能够远程控制受损的系统,保持长期访问,并使横向移动成为可能。
攻击中使用的自定义PowerShell脚本
在Linux和Mac设备上执行类似行为的Python脚本中,威胁者试图从被破坏的系统中窃取大量数据,包括:
·来自各种加密货币钱包的数据,包括MetaMask,以太坊钱包,Coinbase钱包,Trust钱包,Opera钱包,Brave钱包,TronLink, Trezor钱包等。
·各种VPN客户端的配置数据,包括Cisco VPN Client、forticclient、Palto Alto Networks GlobalProtect、OpenVPN、WireGuard等。
·来自流行密码管理器的数据,包括Authenticator、1Password、 NordPass、DashLane、Bitwarden,RoboForm、Keeper、 MultiPassword、 KeePassXC和LastPass。
·匹配特定扩展名或文件名包含特定关键字的文件,包括图片、RDP连接文件、Word文档、Excel电子表格、CSV文件、证书等。目标文件名中的一些关键字包括“pass”,“account”,“auth”,“2fa”,“wallet”,“seedphrase”,“recovery”,“keepass”,“secret”等等。
Larva-208的勒索信
Prodaft表示,EncryptHub是一个老练的恶意分子,它会为提高攻击效率而量身定制攻击计划,对大型组织进行高价值的攻击。
来源:嘶吼专业版
往期文章回顾:
原文始发于微信公众号(金瀚信安):Encrypthub入侵了618个组织以部署InfoStealer勒索软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论