一個名為“EncryptHub”的威脅者（又名“Larva-208”），一直以世界各地的組織為目標，通過魚叉式網絡釣魚和社會工程攻擊來訪問企業網絡。

根據Prodaft上周在內部發布的一份報告稱，自2024年6月Encrypthub啟動運營以來，它已經攻擊了至少618個組織。

在獲得訪問權限后，威脅者安裝遠程監控和管理（RMM）軟件，然后部署像Stealc和Rhadamanthys這樣的信息竊取程序。在許多觀察到的案例中，EncryptHub也會在受損的系統上部署勒索軟件。

據悉，該威脅組織隸屬于RansomHub和BlackSuit，過去曾部署過這兩家勒索軟件加密器，可能是它們的初始訪問代理或直接附屬機構。

然而，在研究人員觀察到的許多攻擊中，攻擊者部署了自定義的PowerShell數據加密器，因此他們也保留了自己的變體。

獲得初始訪問權限

Larva-208的攻擊包括短信網絡釣魚、語音網絡釣魚，以及模仿企業VPN產品（如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet和Microsoft 365）的虛假登錄頁面。

假冒思科登錄頁面

攻擊者通常在給目標的消息中冒充IT支持人員，聲稱VPN訪問有問題或他們的帳戶存在安全問題，指示他們登錄到一個網絡釣魚網站。

受害者收到鏈接，這些鏈接將他們重定向到網絡釣魚登錄頁面，在那里他們的憑據和多因素身份驗證（MFA）令牌（會話cookie）被實時捕獲。

一旦網絡釣魚過程結束，受害者將被重定向到服務的真實域，以避免引起懷疑。

網絡釣魚過程概述

EncryptHub已經購買了70多個模仿上述產品的域名，如“linkwebcisco.com”和“weblinkteams.com”，以增加人們對釣魚網頁的合法性認知。

這些釣魚網站托管在像Yalishanda這樣的可靠托管提供商上，ProDaft說，這些提供商通常不會對合理的刪除請求做出回應。

Prodaft還發現了另一個名為larava -148的子組織，他們幫助購買用于網絡釣魚活動的域名，管理主機，并建立基礎設施。

Larva-148有可能向EncryptHub出售域名和網絡釣魚工具包，盡管它們之間的確切關系尚未被破譯。

惡意軟件部署

一旦EncryptHub入侵目標系統，它就會部署各種PowerShell腳本和惡意軟件來獲得持久性、遠程訪問、竊取數據和加密文件。

首先，他們會欺騙受害者安裝RMM軟件，如AnyDesk、TeamViewer、ScreenConnect、Atera和Splashtop。這使得他們能夠遠程控制受損的系統，保持長期訪問，并使橫向移動成為可能。

接下來，他們使用不同的PowerShell腳本來部署信息竊取程序，如Stealc、Rhadamanthys和變幻無常的Stealer，以竊取存儲在web瀏覽器中的數據。這些數據包括保存的憑據、會話cookie和加密貨幣錢包密碼。

攻擊中使用的自定義PowerShell腳本

在Linux和Mac設備上執行類似行為的Python腳本中，威脅者試圖從被破壞的系統中竊取大量數據，包括：

·來自各種加密貨幣錢包的數據，包括MetaMask，以太坊錢包，Coinbase錢包，Trust錢包，Opera錢包，Brave錢包，TronLink， Trezor錢包等。

·各種VPN客戶端的配置數據，包括Cisco VPN Client、forticclient、Palto Alto Networks GlobalProtect、OpenVPN、WireGuard等。

·來自流行密碼管理器的數據，包括Authenticator、1Password、 NordPass、DashLane、Bitwarden,RoboForm、Keeper、 MultiPassword、 KeePassXC和LastPass。

·匹配特定擴展名或文件名包含特定關鍵字的文件，包括圖片、RDP連接文件、Word文檔、Excel電子表格、CSV文件、證書等。目標文件名中的一些關鍵字包括“pass”，“account”，“auth”，“2fa”，“wallet”，“seedphrase”，“recovery”，“keepass”，“secret”等等。

Larva-208的最后一個威脅是以基于powershell的自定義加密器的形式出現的勒索軟件，該加密器使用AES加密文件并附加“。加密”擴展名，刪除原始文件。

受害者收到一封勒索信，要求用USDT通過電報支付贖金。

Larva-208的勒索信

Prodaft表示，EncryptHub是一個老練的惡意分子，它會為提高攻擊效率而量身定制攻擊計劃，對大型組織進行高價值的攻擊。

本報告中研究的LARVA-208魚叉式網絡釣魚行為表明，有針對性的網絡攻擊越來越復雜。通過采用高度定制的策略，先進的混淆方法和精心制作的誘餌，威脅者已經展示了逃避檢測和破壞高價值目標的重要能力。

參考及來源：https://www.bleepingcomputer.com/news/security/encrypthub-breaches-618-orgs-to-deploy-infostealers-ransomware/