EncryptHub策划了复杂的网络钓鱼活动，部署窃密木马和勒索软件

以经济利益为目的的威胁组织EncryptHub策划了复杂的网络钓鱼活动，以部署窃密木马和勒索软件，同时还在开发一款名为EncryptRAT的新产品。

Outpost24 KrakenLabs 在一份报告中表示： “据观察，EncryptHub 通过分发木马版本来针对热门应用程序的用户发起攻击。此外，还利用了第三方按安装付费 (PPI) 分发服务。”

KrakenLabs 提供的 EncryptHub 钻石模型图

该网络安全公司将威胁组织描述为一个犯错误的黑客组织，以及一个将利用流行漏洞攻击的人。

EncryptHub 也被瑞士网络安全公司 PRODAFT 跟踪为 LARVA-208，据评估，该威胁组织于 2024 年 6 月底开始活跃，依靠从短信网络钓鱼 (smishing) 到语音网络钓鱼 (vishing) 等多种方法，试图诱骗潜在目标安装远程监控和管理 (RMM) 软件。

该网络钓鱼组织与 RansomHub 和 Blacksuit 勒索软件组织有关联，并一直在使用社会工程策略来攻击多个行业的高价值目标。

PRODAFT表示： “攻击者通常会创建一个针对该组织的钓鱼网站，以获取受害者的 VPN 凭据。” “然后，受害者会接到电话，并冒充 IT 团队或帮助台，要求受害者在钓鱼网站中输入受害者的详细信息以解决技术问题。如果针对受害者的攻击不是电话而是直接的短信，则会使用虚假的 Microsoft Teams 链接来诱骗受害者。”

这些钓鱼网站托管在 Yalishand 等防弹托管服务提供商上。一旦获得访问权限，EncryptHub 便会继续运行 PowerShell 脚本，从而部署Fickle、StealC和Rhadamanthys等窃取恶意软件。在大多数情况下，攻击的最终目标是提供勒索软件并索要赎金。

威胁组织采用的另一种常见方法是使用伪装成合法软件的木马程序进行初始访问。这些包括 QQ Talk、QQ Installer、微信、DingTalk、VooV Meeting、Google Meet、Microsoft Visual Studio 2022 和 Palo Alto Global Protect 的假冒版本。

这些带有陷阱的应用程序一旦安装，就会触发多阶段过程，这些过程充当下一阶段有效载荷（如Kematian Stealer）的运载工具，以促进 cookie 窃取。

至少自 2025 年 1 月 2 日起，EncryptHub 分发链的一个关键组成部分就是使用名为 LabInstalls 的第三方PPI 服务，该服务为付费客户提供批量恶意软件安装，价格从 10 美元（100 次加载）到 450 美元（10,000 次加载）不等。

Labinstalls 在 XSS 地下论坛上的帖子，通过 Telegram 机器人出售安装服务

Outpost24 表示：“EncryptHub 确实确认是他们的客户，它在顶级俄语地下论坛 XSS 的 LabInstalls 销售帖子中留下了积极的反馈，甚至还包括了一张证明使用该服务的截图。”

“威胁组织很可能雇用这项服务来减轻分发负担并扩大其恶意软件可以覆盖的目标数量。”

这些变化凸显了对 EncryptHub 杀伤链的积极调整，该组织还开发了新的组件，如 EncryptRAT，这是一个命令和控制 (C2) 面板，用于管理主动感染、发出远程命令和访问被盗数据。有证据表明，对手可能正在寻求将该工具商业化。

不断演变的EncryptHub杀伤链

该公司表示：“EncryptHub 不断改进其策略，强调持续监控和主动防御措施的迫切需要。”“组织必须保持警惕，并采用多层安全策略来减轻此类对手带来的风险。”

技术报告：

https://outpost24.com/blog/unveiling-encrypthub-multi-stage-malware/

新闻链接：

https://thehackernews.com/2025/03/encrypthub-deploys-ransomware-and.html

讲述普通人能听懂的安全故事