EncryptRAT：企業必須警惕的網路威脅

EncryptHub 是一個以經濟利益為目的的駭客組織，一直在改進網路攻擊的方法。他們最新開發的 EncryptRAT 是一種旨在擴展其功能的工具，引起了安全專業人士的新擔憂。隨著該組織增強其惡意軟體傳遞技術和基礎設施，企業必須隨時了解其目標和影響。

Table of Contents

什麼是 EncryptRAT？

EncryptRAT 是一種新開發的命令與控制 (C2) 工具，由 EncryptHub 設計，EncryptHub 是一個以部署網路釣魚活動、資訊竊取者和勒索軟體而聞名的威脅行為者。該工具允許網路犯罪分子遠端管理受感染的系統、執行命令並存取被盜資料。鑑於 EncryptHub 透過木馬應用程式和網路釣魚策略傳播惡意軟體的記錄，EncryptRAT 代表其營運取得了重大進展。

EncryptHub 透過將惡意軟體嵌入到廣泛使用的軟體中來持續攻擊使用者。該集團還利用第三方按安裝付費 (PPI) 服務來擴大其影響力。 EncryptRAT 似乎是其演化的下一步，可能使 EncryptHub 能夠更有效地集中和自動化其攻擊。

EncryptRAT 的目標是什麼？

EncryptHub 使用 EncryptRAT 的主要目標似乎是增強對其網路營運的控制和貨幣化。該工具為攻擊者提供了以下能力：

遠端管理受感染的設備—EncryptRAT 充當控制中心，使攻擊者能夠向受感染的系統發出命令。
收集敏感資料－該工具有助於從受害者的裝置中提取登入憑證、cookie 和其他有價值的資訊。
傳播更多惡意軟體－EncryptRAT 可用於部署其他惡意負載，包括勒索軟體或金融木馬。
將網路威脅商業化——有跡象表明，EncryptHub 可能正在尋求向其他網路犯罪分子出售 EncryptRAT，以擴大其在地下市場的影響力。

EncryptHub 的運作方式

EncryptHub 自 2024 年中期開始活躍，並採用各種社會工程技術來攻擊其目標。其主要策略之一涉及冒充合法 IT 支援團隊的網路釣魚活動。受害者經常被引導至詐騙網站，並在不知情的情況下提供存取憑證。

常見的攻擊場景涉及以下步驟：

網路釣魚設定： EncryptHub 設定了旨在模仿企業登入入口網站的虛假網站。
社會工程：該團體透過簡訊或電話聯繫目標，冒充 IT 人員並要求使用者輸入憑證以進行故障排除。
憑證盜竊：一旦受害者提供其登入詳細信息，EncryptHub 就會獲得對公司網路的未經授權的存取權限。
有效負載部署：使用 PowerShell 腳本，EncryptHub 安裝竊取惡意軟體（如Fickle 、 StealC或Rhadamanthys）來提取敏感資訊。
勒索軟體執行：在許多情況下，最後階段涉及部署勒索軟體，要求付款以換取恢復加密檔案。

使用木馬應用程式也是 EncryptHub 分發策略的重要組成部分。這些被感染的應用程式看似合法，但在執行時會秘密安裝惡意軟體。被用作攻擊媒介的熱門應用程式包括 QQ Talk、微信、Google Meet 和 Palo Alto Global Protect。

按安裝付費服務的作用

EncryptHub 營運的一個顯著特點是它對 LabInstalls 等 PPI 服務的依賴。這些服務允許威脅行為者批量分發惡意軟體，定價模式從 100 次安裝 10 美元到 10,000 次安裝 450 美元不等。透過外包分發，EncryptHub 可以擴大其攻擊規模，而無需管理直接感染的複雜性。

據報道，EncryptHub 積極與 PPI 服務提供者合作，甚至在地下論壇上留下了正面的回饋。此次合作使該集團能夠擴大其業務範圍，同時最大限度地減少營運工作量。