Encrypthub入侵618个组织以部署InfoStealer勒索软件 - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com
登录   |   注册

Encrypthub入侵618个组织以部署InfoStealer勒索软件

胡金鱼 技术 2025-02-28 12:00:00
39425
收藏

导语:EncryptHub是一个老练的恶意分子,它会为提高攻击效率而量身定制攻击计划,对大型组织进行高价值的攻击。

一个名为“EncryptHub”的威胁者(又名“Larva-208”),一直以世界各地的组织为目标,通过鱼叉式网络钓鱼和社会工程攻击来访问企业网络。

根据Prodaft上周在内部发布的一份报告称,自2024年6月Encrypthub启动运营以来,它已经攻击了至少618个组织。

在获得访问权限后,威胁者安装远程监控和管理(RMM)软件,然后部署像Stealc和Rhadamanthys这样的信息窃取程序。在许多观察到的案例中,EncryptHub也会在受损的系统上部署勒索软件。

据悉,该威胁组织隶属于RansomHub和BlackSuit,过去曾部署过这两家勒索软件加密器,可能是它们的初始访问代理或直接附属机构。

然而,在研究人员观察到的许多攻击中,攻击者部署了自定义的PowerShell数据加密器,因此他们也保留了自己的变体。

获得初始访问权限

Larva-208的攻击包括短信网络钓鱼、语音网络钓鱼,以及模仿企业VPN产品(如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet和Microsoft 365)的虚假登录页面。

fake-cisco.webp.png

假冒思科登录页面

攻击者通常在给目标的消息中冒充IT支持人员,声称VPN访问有问题或他们的帐户存在安全问题,指示他们登录到一个网络钓鱼网站。

受害者收到链接,这些链接将他们重定向到网络钓鱼登录页面,在那里他们的凭据和多因素身份验证(MFA)令牌(会话cookie)被实时捕获。

一旦网络钓鱼过程结束,受害者将被重定向到服务的真实域,以避免引起怀疑。

theft-process.webp.png

网络钓鱼过程概述

EncryptHub已经购买了70多个模仿上述产品的域名,如“linkwebcisco.com”和“weblinkteams.com”,以增加人们对钓鱼网页的合法性认知。

这些钓鱼网站托管在像Yalishanda这样的可靠托管提供商上,ProDaft说,这些提供商通常不会对合理的删除请求做出回应。

Prodaft还发现了另一个名为larava -148的子组织,他们帮助购买用于网络钓鱼活动的域名,管理主机,并建立基础设施。

Larva-148有可能向EncryptHub出售域名和网络钓鱼工具包,尽管它们之间的确切关系尚未被破译。

恶意软件部署

一旦EncryptHub入侵目标系统,它就会部署各种PowerShell脚本和恶意软件来获得持久性、远程访问、窃取数据和加密文件。

首先,他们会欺骗受害者安装RMM软件,如AnyDesk、TeamViewer、ScreenConnect、Atera和Splashtop。这使得他们能够远程控制受损的系统,保持长期访问,并使横向移动成为可能。

接下来,他们使用不同的PowerShell脚本来部署信息窃取程序,如Stealc、Rhadamanthys和变幻无常的Stealer,以窃取存储在web浏览器中的数据。这些数据包括保存的凭据、会话cookie和加密货币钱包密码。

PowerShell.webp.png

攻击中使用的自定义PowerShell脚本

在Linux和Mac设备上执行类似行为的Python脚本中,威胁者试图从被破坏的系统中窃取大量数据,包括:

·来自各种加密货币钱包的数据,包括MetaMask,以太坊钱包,Coinbase钱包,Trust钱包,Opera钱包,Brave钱包,TronLink, Trezor钱包等。

·各种VPN客户端的配置数据,包括Cisco VPN Client、forticclient、Palto Alto Networks GlobalProtect、OpenVPN、WireGuard等。

·来自流行密码管理器的数据,包括Authenticator, 1Password, NordPass, DashLane, Bitwarden, RoboForm, Keeper, MultiPassword, KeePassXC和LastPass。

·匹配特定扩展名或文件名包含特定关键字的文件,包括图片、RDP连接文件、Word文档、Excel电子表格、CSV文件、证书等。目标文件名中的一些关键字包括“pass”,“account”,“auth”,“2fa”,“wallet”,“seedphrase”,“recovery”,“keepass”,“secret”等等。

Larva-208的最后一个威胁是以基于powershell的自定义加密器的形式出现的勒索软件,该加密器使用AES加密文件并附加“。加密”扩展名,删除原始文件。

受害者收到一封勒索信,要求用USDT通过电报支付赎金。

ransom-note.webp.png

Larva-208的勒索信

Prodaft表示,EncryptHub是一个老练的恶意分子,它会为提高攻击效率而量身定制攻击计划,对大型组织进行高价值的攻击。

本报告中研究的LARVA-208鱼叉式网络钓鱼行为表明,有针对性的网络攻击越来越复杂。通过采用高度定制的策略,先进的混淆方法和精心制作的诱饵,威胁者已经展示了逃避检测和破坏高价值目标的重要能力。

文章翻译自:https://www.bleepingcomputer.com/news/security/encrypthub-breaches-618-orgs-to-deploy-infostealers-ransomware/如若转载,请注明原文地址
  • 分享至
  •
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 

你可能感兴趣的

公司简介 | 我要投稿 | 更新日志 | 友情链接 | 隐私政策 |
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2024 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务