Yükselen bir siber suçlu varlık olan EnstryPthub, Outpost24’ten KrakenLabs da dahil olmak üzere birden fazla tehdit istihbarat ekibi tarafından incelenmektedir.
Son araştırmalar, EncryPthub’ın altyapısının ve taktiklerinin daha önce görülmemiş yönlerini ortaya çıkardı ve sofistike bir çok aşamalı kötü amaçlı yazılım kampanyasını ortaya çıkardı.
Tehdit oyuncusu operasyonel güvenlik (OPSEC) turları, saldırı zincirleri ve metodolojileri hakkında değerli bilgiler sağlamıştır.
EncryPthub’ın kampanyaları, sistem verilerini toplamak, değerli bilgileri yaymak, kaçırma tekniklerini yürütmek, kötü niyetli yükler enjekte etmek ve daha fazla bilgi samanlayıcılarını dağıtmak için birkaç PowerShell komut dosyası katmanını kullanır.
Tehdit oyuncusu, truva atı sürümlerini dağıtarak, kullanıcıların bu araçlara yerleştirdiği doğal güvenden yararlanarak popüler uygulamaların kullanıcılarını hedefler.
QQ Talk, Wechat, DingTalk ve Microsoft Visual Studio 2022 gibi uygulamalar tehlikeye atılmıştır, bu sahte sürümler sonraki kötü amaçlı yükler için dağıtım mekanizmaları olarak hizmet vermektedir.
Dağıtım kanalları ve taktikler
EncryPthub hem geleneksel hem de yeni dağıtım tekniklerini kullanır.
Trojanize edilmiş uygulamaların yanı sıra, tehdit oyuncusu labinstalls gibi üçüncü taraf üçüncü taraf ödeme (PPI) hizmetlerini kullanır.
OutPost24’ün KrakenLabs raporuna göre, bu hizmet kötü amaçlı yürütülebilir ürünlerin ve PowerShell komut dosyalarının konuşlandırılmasını otomatikleştirerek EncryPTHUB’un kötü amaçlı yazılım dağılımını kolaylaştırmasına ve erişimini genişletmesine izin veriyor.
Labinstalls, müşteri etkileşimlerini ve kurulum alımlarını kolaylaştıran tam otomatik bir telgraf botu aracılığıyla çalışır.
EncryPthub, Rusça konuşan bir yeraltı forumunda olumlu geri bildirim bırakarak bu hizmeti kullandığını doğruladı.
Gelişen Killchain ve Encryptrat
En son sürüm, çok aşamalı bir süreç içeren EncryPthub’ın Killchain’i önemli ölçüde gelişti.
Saldırı, Rhadamanthys kötü amaçlı yazılımlarının konuşlandırılmasına yol açan ek komut dosyalarını indiren ve çalıştıran bir PowerShell betiğinin yürütülmesi ile başlar.
Bunun yanı sıra, enfeksiyonları yönetmek, uzaktan komutları göndermek ve günlükleri izlemek için tasarlanmış bir komut ve kontrol (C2) paneli olan EncryPtrat geliştiriyor.
İlk göstergeler, EncryPtrat’ın yakında ticarileştirilebileceğini ve diğer tehdit aktörlerine sunabileceğini düşündürmektedir.
Tehdit oyuncusu, kripto para birimi sahipliği ve kurumsal ağ bağlantısı gibi özelliklere dayanarak çalınan kimlik bilgilerine öncelik verir.
Encrypthub’ın gelişen taktikleri, sürekli izleme ve proaktif savunma önlemlerine olan ihtiyacı vurgulamaktadır.
Kuruluşlar uyanık kalmalı ve bu tür rakiplerin ortaya koyduğu riskleri azaltmak için çok katmanlı güvenlik stratejileri benimsemelidir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.