EncryptRAT：企业必须警惕的网络威胁

EncryptHub 是一个以经济利益为目的的黑客组织，一直在改进其网络攻击方法。他们最新开发的 EncryptRAT 是一种旨在扩展其能力的工具，这引起了安全专业人士的新担忧。随着该组织增强其恶意软件交付技术和基础设施，企业必须随时了解其目标和影响。

Table of Contents

什么是 EncryptRAT？

EncryptRAT 是一款新开发的命令与控制 (C2) 工具，由 EncryptHub 设计，EncryptHub 是一家以部署网络钓鱼活动、信息窃取程序和勒索软件而闻名的威胁行为者。该工具允许网络犯罪分子远程管理受感染的系统、执行命令和访问被盗数据。鉴于 EncryptHub 通过木马应用程序和网络钓鱼策略传播恶意软件的记录，EncryptRAT 代表了其运营方面的重大进步。

EncryptHub 一直通过将恶意软件嵌入到广泛使用的软件中来瞄准用户。该组织还利用第三方按安装付费 (PPI) 服务来扩大其影响范围。EncryptRAT 似乎是他们进化的下一步，可能使 EncryptHub 能够更有效地集中和自动化其攻击。

EncryptRAT 的目标是什么？

EncryptHub 使用 EncryptRAT 的主要目的似乎是增强对其网络运营的控制力和货币化。该工具为攻击者提供了以下能力：

远程管理受感染的设备——EncryptRAT 充当控制中心，使攻击者能够向受感染的系统发出命令。
收集敏感数据——该工具有助于从受害者的设备中提取登录凭据、cookie 和其他有价值的信息。
传播更多恶意软件——EncryptRAT 可用于部署其他恶意负载，包括勒索软件或金融木马。
将网络威胁商业化——有迹象表明，EncryptHub 可能正在寻求向其他网络犯罪分子出售 EncryptRAT，以扩大其在地下市场的影响力。

EncryptHub 的运作方式

EncryptHub 自 2024 年中期开始活跃，并使用各种社会工程技术来攻击目标。其主要策略之一是冒充合法 IT 支持团队的网络钓鱼活动。受害者通常会被引导到欺诈性网站，并在不知情的情况下提供访问凭据。

常见的攻击场景涉及以下步骤：

网络钓鱼设置： EncryptHub 设置了旨在模仿企业登录门户的虚假网站。
社会工程学：该团伙通过短信或电话联系目标，冒充 IT 人员并要求用户输入凭据以进行故障排除。
凭证盗窃：一旦受害者提供其登录详细信息，EncryptHub 就会获得对公司网络的未经授权的访问权限。
有效负载部署：使用 PowerShell 脚本，EncryptHub 安装窃取恶意软件（如Fickle 、 StealC或Rhadamanthys）来提取敏感信息。
勒索软件执行：在许多情况下，最后阶段涉及部署勒索软件，要求付款以换取恢复加密文件。

使用木马应用程序也是 EncryptHub 分发策略的重要组成部分。这些被感染的应用程序看似合法，但在执行时会秘密安装恶意软件。被用作攻击媒介的热门应用程序包括 QQ Talk、微信、Google Meet 和 Palo Alto Global Protect。

按安装付费服务的作用

EncryptHub 运营的一个显著特点是其对 PPI 服务的依赖，例如 LabInstalls。这些服务允许威胁行为者批量分发恶意软件，定价模式从 100 次安装 10 美元到 10,000 次安装 450 美元不等。通过外包分发，EncryptHub 可以扩大其攻击范围，而无需管理直接感染的复杂性。

报告显示，EncryptHub 积极与 PPI 服务提供商合作，甚至在地下论坛上留下了积极的反馈。这种合作使该组织能够扩大其影响力，同时最大限度地减少运营工作量。