EncryptHub
Az Outpost24 kutatói egy új, EncryptHub néven ismert kiberbűnözői csoportot azonosítottak, amely kifinomult, többlépcsős rosszindulatú kampányokat folytat.
Az EncryptHub kampányai több rétegű PowerShell szkripteket alkalmaznak, amelyek célja rendszerinformációk gyűjtése, értékes adatok exfiltrálása, elkerülési technikák végrehajtása, rosszindulatú payloadok (gyakran Base64-ben kódolt) injektálása és további információtolvajok telepítése. A csoport hamisított, trójai programokkal fertőzött alkalmazásokat terjeszt, amelyek népszerű szoftvereknek álcázzák magukat, mint például a QQ Talk, WeChat, DingTalk, VooV Meeting, Google Meet, Microsoft Visual Studio 2022 és Palo Alto Global Protect. Emellett harmadik fél által nyújtott Pay-Per-Install (PPI) szolgáltatásokat is igénybe vesznek, mint például a LabInstalls, hogy automatizálják a rosszindulatú payloadok terjesztését.
Az EncryptHub a megszerzett hitelesítő adatokat olyan kulcsfontosságú attribútumok alapján priorizálja, mint a kriptovaluta-tulajdonlás, vállalati hálózathoz való kapcsolódás és VPN szoftverek jelenléte. A csoport egy EncryptRAT nevű terméket fejleszt, amely egy távoli hozzáférést biztosító eszköz, és rendelkezik egy command-and-control (C2) panellel, amely képes különböző információtolvajok fertőzéseinek kezelésére és további modulok integrálására. Jelek utalnak arra, hogy a csoport tervezi ennek a terméknek az értékesítését vagy terjesztését a közeljövőben.
Az EncryptHub figyelemmel kíséri a kiberbiztonsági környezetet, és igyekszik beépíteni a népszerű sérülékenységeket a kampányaiba.
