據(jù)悉，臭名昭著的威脅分子EncryptHub向微軟報(bào)告了兩個(gè)Windows零日漏洞，揭示了介于網(wǎng)絡(luò)犯罪和安全研究之間的矛盾人物。

報(bào)告的漏洞是CVE-2025-24061 （Web繞過標(biāo)記）和CVE-2025-24071（文件瀏覽器欺騙），微軟在2025年3月的補(bǔ)丁星期二更新中解決了這些漏洞，并承認(rèn)報(bào)告者為“SkorikARI與SkorikARI”。

錯(cuò)誤報(bào)道

Outpost24研究人員的一份新報(bào)告現(xiàn)已將EncryptHub威脅者與SkorikARI聯(lián)系起來，據(jù)稱該威脅者感染了自己并暴露了他們的憑證。

這種暴露使研究人員能夠?qū)⑼{者與各種在線賬戶聯(lián)系起來，并暴露出在網(wǎng)絡(luò)安全研究人員和網(wǎng)絡(luò)罪犯之間搖擺不定的人的個(gè)人資料。

其中一個(gè)被曝光的賬戶是SkorikARI，黑客利用這個(gè)賬戶向微軟披露了上述兩個(gè)零日漏洞，從而提高了Windows的安全性。

Outpost24的安全分析師Hector Garcia表示，SkorikARI與EncryptHub的聯(lián)系是基于多個(gè)證據(jù)，構(gòu)成了一個(gè)高可信度的評(píng)估。最確鑿的證據(jù)是，EncryptHub從自己的系統(tǒng)中竊取的密碼文件中，既有與EncryptHub相關(guān)的賬戶，比如仍在開發(fā)中的EncryptRAT的憑據(jù)，也有他在xss上的賬戶。

對(duì)SkorikARI來說，這就像訪問自由職業(yè)網(wǎng)站或他自己的Gmail賬戶。

此外，另一個(gè)證實(shí)兩者之間聯(lián)系的重要證據(jù)是與ChatGPT的對(duì)話，可以觀察到與EncryptHub和SkorikARI相關(guān)的活動(dòng)。

EncryptHub對(duì)零日攻擊并不新鮮，威脅者或其中一名成員試圖在黑客論壇上向其他網(wǎng)絡(luò)罪犯出售零日攻擊。

EncryptHub試圖在地下論壇上出售零日漏洞

Outpost24深入研究了EncryptHub的經(jīng)歷，指出這名黑客反復(fù)在自由開發(fā)工作和網(wǎng)絡(luò)犯罪活動(dòng)之間轉(zhuǎn)換。

盡管他有明顯的IT專業(yè)知識(shí)，但據(jù)報(bào)道，這名黑客成為了opsec實(shí)踐的受害者，導(dǎo)致他的個(gè)人信息被曝光。

這包括黑客使用ChatGPT來開發(fā)惡意軟件和網(wǎng)絡(luò)釣魚網(wǎng)站，集成第三方代碼，以及研究漏洞。

這位威脅者還與OpenAI的LLM聊天機(jī)器人進(jìn)行了更深入的個(gè)人接觸，在一個(gè)案例中，他描述了自己的成就，并要求人工智能將他歸類為酷黑客或惡意研究人員。

根據(jù)提供的輸入，ChatGPT將他評(píng)估為40%黑帽，30%灰帽，20%白帽和10%不確定。

同樣的沖突也反映在他未來對(duì)ChatGPT的計(jì)劃中，黑客要求聊天機(jī)器人幫助組織一場(chǎng)大規(guī)模但“無害”的活動(dòng)，影響數(shù)萬臺(tái)計(jì)算機(jī)進(jìn)行宣傳。

公開ChatGPT討論

EncryptHub是什么

EncryptHub是一個(gè)威脅分子，與RansomHub和BlackSuit等勒索軟件團(tuán)伙有一定聯(lián)系。

然而，最近，威脅者通過各種社會(huì)工程活動(dòng)、網(wǎng)絡(luò)釣魚攻擊和創(chuàng)建基于powershell的自定義信息竊取器“善變竊取者”而出名。

威脅者還以進(jìn)行社會(huì)工程活動(dòng)而聞名，他們?yōu)樘摌?gòu)的應(yīng)用程序創(chuàng)建社交媒體配置文件和網(wǎng)站。

在一個(gè)例子中，研究人員發(fā)現(xiàn)，威脅者為一個(gè)名為GartoriSpace的項(xiàng)目管理應(yīng)用程序創(chuàng)建了一個(gè)X帳戶和網(wǎng)站。

假冒GartoriSpace網(wǎng)站

該網(wǎng)站通過社交媒體平臺(tái)上的私人信息進(jìn)行推廣，這些信息將提供下載該軟件所需的代碼。當(dāng)下載軟件時(shí)，Windows設(shè)備會(huì)收到一個(gè)安裝了善變竊取軟件的PPKG文件[VirusTotal]，而Mac設(shè)備會(huì)收到一個(gè)AMOS信息竊取軟件[VirusTotal]。

EncryptHub還與利用微軟管理控制臺(tái)漏洞CVE-2025-26633的Windows零日攻擊有關(guān)。該漏洞在3月份被修復(fù)?？偟膩碚f，威脅者的活動(dòng)似乎是為他們工作的，據(jù)報(bào)告稱，威脅者已經(jīng)破壞了600多個(gè)組織。

參考及來源：https://www.bleepingcomputer.com/news/security/encrypthubs-dual-life-cybercriminal-vs-windows-bug-bounty-researcher/