Киберпреступная организация EncryptHub привлекла внимание различных групп по анализу угроз благодаря своей сложной операционной инфраструктуре и методологиям. Недавние расследования выявили критические ошибки в их системе безопасности, которые осветили детали работы этой группы.
Ошибки в безопасности и уязвимости
EncryptHub допустил несколько заметных ошибок, в частности:
- Случайное включение списков каталогов;
- Неправильное управление конфиденциальными журналами.
Эти уязвимости позволили аналитикам получить доступ к внутренним аспектам системы EncryptHub и провести более глубокий анализ их подходов к атаке.
Многоуровневая стратегия атаки
Организация применяет многоуровневую стратегию, используя PowerShell для:
- Сбора данных;
- Методов обхода;
- Развертывания полезной нагрузки.
Сценарии PowerShell часто встраиваются во вредоносные приложения, маскирующиеся под законное программное обеспечение.
Целевая аудитория и методы распространения
Основными жертвами хакеров становятся пользователи популярных приложений, таких как:
- QQ Talk;
- WeChat;
- Microsoft Visual Studio 2022.
Поддельные версии этих приложений позволяют EncryptHub получить первоначальный доступ к системам жертв.
Системы сбора данных
После установки вредоносного ПО, эти приложения запускают встроенные сценарии PowerShell, которые собирают важную системную информацию и отправляют ее на серверы управления. Это указывает на высокий уровень возможностей группы по сбору данных.
Использование сторонних сервисов
EncryptHub также применяет сторонние услуги, такие как платформа с оплатой за установку (PPI) под названием LabInstalls. Эта платформа:
- Автоматизирует распространение вредоносного ПО;
- Скрывает происхождение вредоносного ПО;
- Облегчает логистику для злоумышленников.
Развитие методов утечки данных
Начиная с февраля 2025 года, EncryptHub продолжает модифицировать свою цепочку взломов, внедряя более продвинутые подходы.
Новые тактики нацелены на:
- Сеансы обмена сообщениями;
- Криптовалютные кошельки;
- Пароли, хранящиеся в браузерах.
Особое внимание уделяется краже файлов cookie с использованием встроенных исполняемых файлов, полученных из инструмента Kematian Stealer.
Разработка нового инструмента
CryptHub разрабатывает новый инструмент удаленного доступа под названием EncryptRAT с целью его коммерциализации. Этот инструмент позволит значительно расширить операционные возможности группы и упростит управление вредоносными программами.
Таким образом, EncryptHub представляет собой актуальную угрозу, и его методы стали более сложными и изощренными, что требует повышенного внимания со стороны специалистов по кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "EncryptHub: эволюция киберугроз и новые угрозы безопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.