一個名為“EncryptHub”的威脅者(又名“Larva-208”)，一直以世界各地的組織為目標，通過魚叉式網(wǎng)絡(luò)釣魚和社會工程攻擊來訪問企業(yè)網(wǎng)絡(luò)。

根據(jù)Prodaft上周在內(nèi)部發(fā)布的一份報告稱，自2024年6月Encrypthub啟動運營以來，它已經(jīng)攻擊了至少618個組織。

在獲得訪問權(quán)限后，威脅者安裝遠程監(jiān)控和管理(RMM)軟件，然后部署像Stealc和Rhadamanthys這樣的信息竊取程序。在許多觀察到的案例中，EncryptHub也會在受損的系統(tǒng)上部署勒索軟件。

據(jù)悉，該威脅組織隸屬于RansomHub和BlackSuit，過去曾部署過這兩家勒索軟件加密器，可能是它們的初始訪問代理或直接附屬機構(gòu)。

然而，在研究人員觀察到的許多攻擊中，攻擊者部署了自定義的PowerShell數(shù)據(jù)加密器，因此他們也保留了自己的變體。

獲得初始訪問權(quán)限

Larva-208的攻擊包括短信網(wǎng)絡(luò)釣魚、語音網(wǎng)絡(luò)釣魚，以及模仿企業(yè)VPN產(chǎn)品(如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet和Microsoft 365)的虛假登錄頁面。

假冒思科登錄頁面

攻擊者通常在給目標的消息中冒充IT支持人員，聲稱VPN訪問有問題或他們的帳戶存在安全問題，指示他們登錄到一個網(wǎng)絡(luò)釣魚網(wǎng)站。

受害者收到鏈接，這些鏈接將他們重定向到網(wǎng)絡(luò)釣魚登錄頁面，在那里他們的憑據(jù)和多因素身份驗證(MFA)令牌(會話cookie)被實時捕獲。

一旦網(wǎng)絡(luò)釣魚過程結(jié)束，受害者將被重定向到服務(wù)的真實域，以避免引起懷疑。

網(wǎng)絡(luò)釣魚過程概述

EncryptHub已經(jīng)購買了70多個模仿上述產(chǎn)品的域名，如“l(fā)inkwebcisco.com”和“weblinkteams.com”，以增加人們對釣魚網(wǎng)頁的合法性認知。

這些釣魚網(wǎng)站托管在像Yalishanda這樣的可靠托管提供商上，ProDaft說，這些提供商通常不會對合理的刪除請求做出回應(yīng)。

Prodaft還發(fā)現(xiàn)了另一個名為larava -148的子組織，他們幫助購買用于網(wǎng)絡(luò)釣魚活動的域名，管理主機，并建立基礎(chǔ)設(shè)施。

Larva-148有可能向EncryptHub出售域名和網(wǎng)絡(luò)釣魚工具包，盡管它們之間的確切關(guān)系尚未被破譯。

惡意軟件部署

一旦EncryptHub入侵目標系統(tǒng)，它就會部署各種PowerShell腳本和惡意軟件來獲得持久性、遠程訪問、竊取數(shù)據(jù)和加密文件。

首先，他們會欺騙受害者安裝RMM軟件，如AnyDesk、TeamViewer、ScreenConnect、Atera和Splashtop。這使得他們能夠遠程控制受損的系統(tǒng)，保持長期訪問，并使橫向移動成為可能。

接下來，他們使用不同的PowerShell腳本來部署信息竊取程序，如Stealc、Rhadamanthys和變幻無常的Stealer，以竊取存儲在web瀏覽器中的數(shù)據(jù)。這些數(shù)據(jù)包括保存的憑據(jù)、會話cookie和加密貨幣錢包密碼。

攻擊中使用的自定義PowerShell腳本

在Linux和Mac設(shè)備上執(zhí)行類似行為的Python腳本中，威脅者試圖從被破壞的系統(tǒng)中竊取大量數(shù)據(jù)，包括：

·來自各種加密貨幣錢包的數(shù)據(jù)，包括MetaMask，以太坊錢包，Coinbase錢包，Trust錢包，Opera錢包，Brave錢包，TronLink， Trezor錢包等。

·各種VPN客戶端的配置數(shù)據(jù)，包括Cisco VPN Client、forticclient、Palto Alto Networks GlobalProtect、OpenVPN、WireGuard等。

·來自流行密碼管理器的數(shù)據(jù)，包括Authenticator、1Password、 NordPass、DashLane、Bitwarden,RoboForm、Keeper、 MultiPassword、 KeePassXC和LastPass。

·匹配特定擴展名或文件名包含特定關(guān)鍵字的文件，包括圖片、RDP連接文件、Word文檔、Excel電子表格、CSV文件、證書等。目標文件名中的一些關(guān)鍵字包括“pass”，“account”，“auth”，“2fa”，“wallet”，“seedphrase”，“recovery”，“keepass”，“secret”等等。

Larva-208的最后一個威脅是以基于powershell的自定義加密器的形式出現(xiàn)的勒索軟件，該加密器使用AES加密文件并附加“。加密”擴展名，刪除原始文件。

受害者收到一封勒索信，要求用USDT通過電報支付贖金。

Larva-208的勒索信

Prodaft表示，EncryptHub是一個老練的惡意分子，它會為提高攻擊效率而量身定制攻擊計劃，對大型組織進行高價值的攻擊。

本報告中研究的LARVA-208魚叉式網(wǎng)絡(luò)釣魚行為表明，有針對性的網(wǎng)絡(luò)攻擊越來越復(fù)雜。通過采用高度定制的策略，先進的混淆方法和精心制作的誘餌，威脅者已經(jīng)展示了逃避檢測和破壞高價值目標的重要能力。

參考及來源：https://www.bleepingcomputer.com/news/security/encrypthub-breaches-618-orgs-to-deploy-infostealers-ransomware/

來源：嘶吼專業(yè)版