该公司向 The Hacker News 表示,该鱼叉式网络钓鱼组织与 RansomHub 和 Blacksuit 勒索软件组织有关联,并一直在使用先进的社会工程策略来攻击多个行业的高价值目标。
PRODAFT表示:“攻击者通常会创建一个针对该组织的钓鱼网站,以获取受害者的 VPN 凭据。” “然后,受害者会接到电话,并冒充 IT 团队或帮助台,要求受害者在钓鱼网站中输入受害者的详细信息以解决技术问题。如果针对受害者的攻击不是电话而是直接的短信,则会使用虚假的 Microsoft Teams 链接来诱骗受害者。”
这些钓鱼网站托管在 Yalishand 等防弹托管服务提供商上。一旦获得访问权限,EncryptHub 便会继续运行 PowerShell 脚本,从而部署Fickle、StealC和Rhadamanthys等窃取恶意软件。在大多数情况下,攻击的最终目标是提供勒索软件并索要赎金。
攻击者采用的另一种常见方法是使用伪装成合法软件的木马应用程序进行初始访问。这些包括 QQ Talk、QQ Installer、微信、DingTalk、VooV Meeting、Google Meet、Microsoft Visual Studio 2022 和 Palo Alto Global Protect 的假冒版本。
这些带有陷阱的应用程序一旦安装,就会触发多阶段过程,这些过程充当下一阶段有效载荷(如Kematian Stealer)的运载工具,以促进 cookie 窃取。
至少自 2025 年 1 月 2 日起,EncryptHub 分发链的一个关键组成部分就是使用名为 LabInstalls 的第三方PPI 服务,该服务为付费客户提供批量恶意软件安装,价格从 10 美元(100 次加载)到 450 美元(10,000 次加载)不等。
Outpost24 表示:“EncryptHub 确实确认是他们的客户,它在顶级俄语地下论坛 XSS 的 LabInstalls 销售帖子中留下了积极的反馈,甚至还包括了一张证明使用该服务的截图。”
攻击者很可能雇用这项服务来减轻分发负担并扩大其恶意软件可以覆盖的目标数量。
这些变化凸显了对 EncryptHub 杀伤链的积极调整,攻击者还开发了新的组件,如 EncryptRAT,这是一个命令和控制 (C2) 面板,用于管理主动感染、发出远程命令和访问被盗数据。有证据表明,对手可能正在寻求将该工具商业化。
该公司表示:“EncryptHub 不断改进其策略,强调持续监控和主动防御措施的迫切需要。”“组织必须保持警惕,并采用多层安全策略来减轻此类对手带来的风险。”
信息来源:Thehackernews
原文始发于微信公众号(犀牛安全):EncryptHub 通过木马应用程序、PPI 服务和网络钓鱼部署勒索软件和窃取程序
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论