黑客组织EncryptHub伪装QQ、微信等传播勒索软件，超618家企业被攻击

黑客组织EncryptHub近期发动大规模网络攻击，利用木马化的QQ、微信、钉钉、Google Meet等应用，以及PPI服务，在全球范围内传播信息窃取器和勒索软件。

出于经济利益驱动的黑客组织EncryptHub被发现通过复杂的网络钓鱼活动部署信息窃取器和勒索软件，同时还在开发一款名为EncryptRAT的新产品。

Outpost24的KrakenLabs在一份报告中称：“EncryptHub通过分发热门应用的被篡改版本来攻击用户，还利用了第三方按安装付费（PPI）分发服务。”

这家网络安全公司将该威胁组织描述为一个存在操作安全失误的黑客团体，且该团体会将针对热门安全漏洞的利用整合到攻击活动中。

EncryptHub还被瑞士网络安全公司PRODAFT追踪为LARVA-208，被认为自2024年6月底开始活跃，采用从短信钓鱼到语音钓鱼等多种方式，诱骗潜在目标安装远程监控和管理（RMM）软件。

该公司透露，该网络钓鱼组织与RansomHub和Blacksuit勒索软件组织有关联，过去九个月里，利用高级社会工程学手段攻击了618个高价值目标，涉及多个行业。

“攻击者通常会创建一个针对组织的钓鱼网站来获取受害者的VPN凭证，”PRODAFT表示，“随后，受害者会接到电话，被要求在钓鱼网站上输入个人信息以解决技术问题，对方伪装成IT团队或客服。如果攻击不是通过电话，而是直接发送短信，就会使用伪造的Microsoft Teams链接来说服受害者。”

这些钓鱼网站托管在防弹主机提供商Yalishand等平台上。一旦获得访问权限，EncryptHub就会运行PowerShell脚本，进而部署Fickle、StealC和Rhadamanthys等窃取器恶意软件。大多数情况下，攻击的最终目的是投放勒索软件并索要赎金。

威胁者采用的另一种常见方法是使用伪装成合法软件的特洛伊木马应用程序作为初始访问手段。这些包括QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022和Palo Alto Global Protect的假冒版本。

这些被篡改的应用程序一旦安装，就会触发一个多阶段的过程，作为后续有效载荷（如Kematian窃取器）的传递工具，以方便窃取Cookie。

自2025年1月2日起，EncryptHub分发链的一个关键部分是使用名为LabInstalls的第三方PPI服务，该服务为付费客户（从10美元100次安装到450美元10000次安装）提供批量恶意软件安装。

“EncryptHub通过在俄语顶级地下论坛XSS上的LabInstalls销售帖子中留下好评，甚至附上使用该服务的截图，确认自己是其客户。”Outpost24表示。

“该威胁者很可能雇佣这项服务以减轻分发负担并扩大其恶意软件的攻击范围。”

这些变化突显了EncryptHub攻击链的积极调整，该组织还在开发新组件，如用于管理活跃感染、发布远程命令和访问被盗数据的命令与控制（C2）面板EncryptRAT。有证据表明，对手可能正考虑将该工具商业化。

“EncryptHub不断演变其战术，强调了持续监控和积极防御措施的必要性，”该公司表示，“组织必须保持警惕，采用多层次安全策略来降低此类对手带来的风险。”

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

消息来源：https://thehackernews.com/2025/03/encrypthub-deploys-ransomware-and.html

    更多网络安全视频，请关注视频号“知道创宇404实验室”

原文始发于微信公众号（安全威胁纵横）：黑客组织EncryptHub伪装QQ、微信等传播勒索软件，超618家企业被攻击