以經濟利益為驅動的黑客組織EncryptHub正通過精心策劃的釣魚攻擊部署竊密程序和勒索軟件，同時還開發了一款名為EncryptRAT的新產品。

Outpost24 KrakenLabs在一份提交給The Hacker News的新報告中表示："EncryptHub通過分發木馬化版本，針對流行應用的用戶發起攻擊。此外，該威脅攻擊者還使用了第三方的按安裝付費（PPI）分發服務。"這家網絡安全公司將該威脅攻擊者描述為一個在操作安全方面存在錯誤，并將針對流行安全漏洞的利用程序整合到攻擊活動中的黑客組織。

EncryptHub也被瑞士網絡安全公司PRODAFT追蹤為LARVA-208，據評估該組織自2024年6月底開始活躍，并通過短信釣魚（smishing）和語音釣魚（vishing）等多種方式試圖誘騙目標安裝遠程監控和管理（RMM）軟件。

該公司告訴The Hacker News，該魚叉式釣魚組織與RansomHub和Blacksuit勒索軟件組織有關聯，并利用先進的社會工程技術滲透多個行業中的高價值目標。

釣魚攻擊手法解析

PRODAFT表示："攻擊者通常會創建一個針對特定組織的釣魚網站，以獲取受害者的VPN憑證。然后，他們冒充IT團隊或幫助臺，致電受害者并要求其在釣魚網站上輸入詳細信息以解決技術問題。如果攻擊通過短信而非電話進行，則會使用偽造的Microsoft Teams鏈接來說服受害者。"

這些釣魚網站托管在像Yalishand這樣的防彈主機服務提供商上。一旦成功獲取訪問權限，EncryptHub便會運行PowerShell腳本，進而部署諸如Fickle、StealC和Rhadamanthys等竊密惡意軟件。大多數情況下，攻擊的最終目的是部署勒索軟件并索取贖金。

木馬化應用與PPI服務

威脅攻擊者常用的另一種方法是使用偽裝成合法軟件的帶有木馬程序的應用進行初始訪問。這些假冒軟件包括QQ Talk、QQ Installer、微信、釘釘、VooV Meeting、Google Meet、Microsoft Visual Studio 2022和Palo Alto Global Protect等。

一旦安裝這些帶有陷阱的應用，便會觸發多階段進程，這些進程充當了下一階段有效載荷的傳播媒介，比如Kematian Stealer，以協助竊取Cookies。

自2025年1月2日起，EncryptHub分發鏈中的關鍵組成部分便是使用了一款名為LabInstalls的第三方PPI服務。該服務為付費客戶提供批量惡意軟件安裝服務，價格從100次安裝的40美元到10000次安裝的450美元不等。

Outpost24表示："EncryptHub確實通過在頂級俄語地下論壇XSS的LabInstalls銷售主題中留下正面反饋確認了其客戶身份，甚至包含了一張證明使用該服務的截圖。該威脅攻擊者很可能雇傭這項服務以減輕分發負擔并擴大其惡意軟件所能觸及的目標數量。"

EncryptHub的持續演變

這些變化突顯了EncryptHub對其攻擊鏈的積極調整。該威脅攻擊者還開發了新的組件，如EncryptRAT，一款用于管理活躍感染、發布遠程命令和訪問被盜數據的命令與控制（C2）面板。有證據表明，對手可能正在尋求對該工具進行商業化。

該公司表示："EncryptHub持續演變其戰術，強調了持續監控和主動防御措施的迫切需要。各組織必須保持警惕，并采用多層安全策略，以減輕此類對手帶來的風險。"