تم رصد مجموعة التهديد المالي المعروفة باسم EncryptHub تقوم بتنظيم حملات تصيد متطورة لنشر برمجيات السرقة والفدية، كما تعمل على تطوير منتج جديد يُسمى EncryptRAT.
قالت Outpost24 KrakenLabs في تقرير جديد تم مشاركته مع The Hacker News: “تم رصد EncryptHub تستهدف مستخدمي التطبيقات الشهيرة من خلال توزيع نسخ مزيفة منها”. وأضاف التقرير: “بالإضافة إلى ذلك، استخدمت المجموعة خدمات توزيع Pay-Per-Install (PPI) التابعة لطرف ثالث”.
وصفت الشركة الأمنية المجموعة بأنها مجموعة قرصنة ترتكب أخطاء في أمان العمليات وتستغل الثغرات الأمنية الشهيرة في حملاتها الهجومية.
تُعرف EncryptHub أيضًا باسم LARVA-208 وفقًا لشركة PRODAFT السويسرية للأمن السيبراني، وتم تقييمها بأنها أصبحت نشطة نحو نهاية يونيو 2024، وتعتمد على مجموعة متنوعة من الأساليب من التصيد عبر الرسائل النصية (smishing) إلى التصيد الصوتي (vishing) لخداع الأهداف المحتملة لتثبيت برامج المراقبة والإدارة عن بُعد (RMM).
التكتيكات المتقدمة في الهجوم
أفادت الشركة بأن مجموعة التصيد بالرمح مرتبطة بمجموعات الفدية RansomHub وBlacksuit، وتستخدم تكتيكات الهندسة الاجتماعية المتقدمة لاستهداف الأهداف ذات القيمة العالية عبر صناعات متعددة.
قالت PRODAFT: “يقوم المهاجم عادة بإنشاء موقع تصيد يستهدف المؤسسة للحصول على بيانات اعتماد VPN للضحية”. “ثم يتم الاتصال بالضحية وطلب إدخال تفاصيله في موقع التصيد بدعوى وجود مشاكل فنية، متنكرًا كفريق تقني أو مكتب المساعدة. وإذا لم يكن الهجوم عبارة عن اتصال هاتفي بل رسالة نصية مباشرة، يتم استخدام رابط مزيف لخدمة Microsoft Teams لإقناع الضحية”.
استضافة مواقع التصيد
تُستضاف مواقع التصيد على مزودي الاستضافة المضادة مثل Yalishand. بمجرد الحصول على الوصول، تقوم EncryptHub بتشغيل سكربتات PowerShell تؤدي إلى نشر برمجيات السرقة مثل Fickle وStealC وRhadamanthys. الغرض النهائي من الهجمات في معظم الحالات هو نشر برمجيات الفدية والمطالبة بفدية.
التطبيقات المزيفة كوسيلة للوصول الأولي
تشمل الطرق الأخرى التي يستخدمها المهاجمون استخدام تطبيقات مزيفة تتنكر كبرمجيات شرعية للوصول الأولي. تتضمن هذه التطبيقات نسخ مزيفة من QQ Talk وQQ Installer وWeChat وDingTalk وVooV Meeting وGoogle Meet وMicrosoft Visual Studio 2022 وPalo Alto Global Protect.
بمجرد تثبيت هذه التطبيقات المفخخة، تبدأ عملية متعددة المراحل تعمل كوسيلة لنقل الحمولات التالية مثل Kematian Stealer لتسهيل سرقة الكوكيز.
خدمات PPI لتوزيع البرمجيات الخبيثة
منذ 2 يناير 2025 على الأقل، كان مكونًا حيويًا في سلسلة توزيع EncryptHub هو استخدام خدمة PPI التابعة لطرف ثالث تُسمى LabInstalls، والتي تسهل تثبيت البرمجيات الخبيثة بكميات كبيرة للعملاء المدفوعين بدءًا من 10 دولارات (100 تحميل) إلى 450 دولارًا (10,000 تحميل).
قالت Outpost24: “أكدت EncryptHub بالفعل كونها عميلًا لهذه الخدمة بترك ملاحظات إيجابية في خيط بيع LabInstalls على منتدى XSS الروسي تحت الأرض، بما في ذلك لقطة شاشة تثبت استخدام الخدمة”.
تطورات جديدة في أدوات الهجوم
تُبرز هذه التغييرات التعديلات النشطة في سلسلة الهجمات الخاصة بـ EncryptHub، حيث تعمل المجموعة على تطوير مكونات جديدة مثل EncryptRAT، وهي لوحة تحكم لإدارة العدوى النشطة وإصدار الأوامر عن بُعد والوصول إلى البيانات المسروقة. هناك بعض الأدلة التي تشير إلى أن المهاجم قد يسعى لتسويق الأداة.
قالت الشركة: “تواصل EncryptHub تطوير تكتيكاتها، مما يبرز الحاجة الملحة إلى مراقبة مستمرة واتخاذ تدابير دفاعية استباقية”. “يجب على المؤسسات أن تظل يقظة وتتبع استراتيجيات أمان متعددة الطبقات لتقليل المخاطر التي تشكلها مثل هذه الجهات المهاجمة”.
