Olarak bilinen finansal olarak motive olmuş tehdit aktörü Şifreleme bilgi çalma ve fidye yazılımlarını dağıtmak için sofistike kimlik avı kampanyalarının düzenlenmesi ve aynı zamanda yeni bir ürün üzerinde çalıştığı gözlemlenmiştir. Şifreleme.
Hacker News ile paylaşılan yeni bir raporda OutPost24 KrakenLabs, “EncryPthub, Truva atlı sürümleri dağıtarak popüler uygulamaların kullanıcılarını hedefleyen gözlemlendi.” Dedi. Diyerek şöyle devam etti: “Ayrıca, tehdit oyuncusu aynı zamanda üçüncü taraf install ödeme (PPI) dağıtım hizmetlerinden de yararlandı.”
Siber güvenlik şirketi, tehdit oyuncusunu operasyonel güvenlik hataları yapan bir hack grubu olarak ve popüler güvenlik kusurları için istismarları saldırı kampanyalarına dahil eden biri olarak tanımladı.
İsviçre siber güvenlik şirketi Prodaft tarafından Larva-208 olarak da izlenen EncryPthub, Haziran 2024’ün sonuna doğru aktif hale geldiği değerlendiriliyor ve SMS kimlik avı (sminging) ile sesli kimlik avı (Vishing) ‘e kadar çeşitli yaklaşımlara dayanıyor.
Şirket, Hacker News’e mızrak aktı grubunun Ransomhub ve Blacksuit fidye yazılımı gruplarına bağlı olduğunu ve birden fazla endüstride yüksek değerli hedeflerden ödün vermek için gelişmiş sosyal mühendislik taktiklerini kullandığını söyledi.
Prodaft, “Aktör genellikle kurbanın VPN kimlik bilgilerini almayı hedefleyen bir kimlik avı sitesi yaratıyor.” Dedi. Diyerek şöyle devam etti: “Mağdur daha sonra çağrılır ve BT ekibi veya yardım masası olarak poz veren teknik konular için kurbanın ayrıntılarını kimlik avı sitesine girmeleri istenir. Mağduru hedefleyen saldırı bir çağrı değil, doğrudan SMS kısa mesajı ise, kurbanı ikna etmek için sahte bir Microsoft Teams bağlantısı kullanılır.”
Kimlik avı siteleri Yalishand gibi kurşun geçirmez barındırma sağlayıcılarında barındırılmaktadır. Erişim elde edildikten sonra, EncryPthub, Fickle, Stealc ve Rhadamanthys gibi stealer kötü amaçlı yazılımların konuşlandırılmasına yol açan PowerShell komut dosyalarını çalıştırmaya devam eder. Çoğu durumda saldırıların nihai amacı fidye yazılımı sunmak ve fidye talep etmektir.
Tehdit aktörleri tarafından benimsenen diğer yaygın yöntemlerden biri, başlangıç erişim için meşru yazılım olarak gizlenmiş truva atlı uygulamaların kullanımı ile ilgilidir. Bunlar arasında QQ Talk, QQ Installer, Wechat, DingTalk, Voov Toplantısı, Google Meet, Microsoft Visual Studio 2022 ve Palo Alto Global Protect’in sahte sürümleri yer alıyor.
Bir kez kurulduktan sonra bu bubi sıkışmış uygulamalar, çerez hırsızlığını kolaylaştırmak için Kematian stealer gibi gelecek aşamalı yükler için bir dağıtım aracı görevi gören çok aşamalı bir işlemi tetikler.
En azından 2 Ocak 2025’ten bu yana, EncryPthub’ın dağıtım zincirinin önemli bir bileşeni, 10 $ (100 yük) ila 450 $ (10.000 yük) ‘dan başlayan müşteriler için toplu kötü amaçlı yazılım yüklerini kolaylaştıran LabinStalls olarak adlandırılan bir üçüncü taraf PPI hizmetinin kullanımı olmuştur.
OutPost24, “EncryPthub, hizmetin kullanımını kanıtlayan bir ekran görüntüsü de dahil olmak üzere, üst düzey Rusça konuşan yeraltı forumu XSS’de iş parçacığı satan labinstall’larda olumlu geri bildirim bırakarak müşterileri olduğunu doğruladı.” Dedi.
“Tehdit oyuncusu büyük olasılıkla dağıtım yükünü hafifletmek ve kötü amaçlı yazılımlarının ulaşabileceği hedef sayısını genişletmek için bu hizmeti işe aldı.”
Bu değişiklikler, aktif enfeksiyonları yönetmek, uzaktan komutlar vermek ve çalınan verilere erişim için bir komut ve kontrol (C2) paneli olan EncryPtrat gibi yeni bileşenler geliştiren tehdit oyuncusu ile aktif ayarlamaların altını çiziyor. Düşmanın aracı ticarileştirmek için aradığını gösteren bazı kanıtlar var.
Şirket, “EncryPthub, sürekli izleme ve proaktif savunma önlemlerine yönelik kritik ihtiyacın altını çizerek taktiklerini geliştirmeye devam ediyor.” Dedi. Diyerek şöyle devam etti: “Kuruluşlar, bu tür düşmanların ortaya koyduğu riskleri azaltmak için uyanık kalmalı ve çok katmanlı güvenlik stratejilerini benimsemelidir.”