久久精品黄色夫妻视频_午夜裸体性皤放_亚洲第一无码AV无码专区_av毛片h片在线观看

一個(gè)名為“EncryptHub”的威脅者(又名“Larva-208”)，一直以世界各地的組織為目標(biāo)，通過魚叉式網(wǎng)絡(luò)釣魚和社會(huì)工程攻擊來訪問企業(yè)網(wǎng)絡(luò)。

根據(jù)Prodaft上周在內(nèi)部發(fā)布的一份報(bào)告稱，自2024年6月Encrypthub啟動(dòng)運(yùn)營(yíng)以來，它已經(jīng)攻擊了至少618個(gè)組織。

在獲得訪問權(quán)限后，威脅者安裝遠(yuǎn)程監(jiān)控和管理(RMM)軟件，然后部署像Stealc和Rhadamanthys這樣的信息竊取程序。在許多觀察到的案例中，EncryptHub也會(huì)在受損的系統(tǒng)上部署勒索軟件。

據(jù)悉，該威脅組織隸屬于RansomHub和BlackSuit，過去曾部署過這兩家勒索軟件加密器，可能是它們的初始訪問代理或直接附屬機(jī)構(gòu)。

然而，在研究人員觀察到的許多攻擊中，攻擊者部署了自定義的PowerShell數(shù)據(jù)加密器，因此他們也保留了自己的變體。

獲得初始訪問權(quán)限

Larva-208的攻擊包括短信網(wǎng)絡(luò)釣魚、語(yǔ)音網(wǎng)絡(luò)釣魚，以及模仿企業(yè)VPN產(chǎn)品(如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet和Microsoft 365)的虛假登錄頁(yè)面。

假冒思科登錄頁(yè)面

攻擊者通常在給目標(biāo)的消息中冒充IT支持人員，聲稱VPN訪問有問題或他們的帳戶存在安全問題，指示他們登錄到一個(gè)網(wǎng)絡(luò)釣魚網(wǎng)站。

受害者收到鏈接，這些鏈接將他們重定向到網(wǎng)絡(luò)釣魚登錄頁(yè)面，在那里他們的憑據(jù)和多因素身份驗(yàn)證(MFA)令牌(會(huì)話cookie)被實(shí)時(shí)捕獲。

一旦網(wǎng)絡(luò)釣魚過程結(jié)束，受害者將被重定向到服務(wù)的真實(shí)域，以避免引起懷疑。

網(wǎng)絡(luò)釣魚過程概述

EncryptHub已經(jīng)購(gòu)買了70多個(gè)模仿上述產(chǎn)品的域名，如“l(fā)inkwebcisco.com”和“weblinkteams.com”，以增加人們對(duì)釣魚網(wǎng)頁(yè)的合法性認(rèn)知。

這些釣魚網(wǎng)站托管在像Yalishanda這樣的可靠托管提供商上，ProDaft說，這些提供商通常不會(huì)對(duì)合理的刪除請(qǐng)求做出回應(yīng)。

Prodaft還發(fā)現(xiàn)了另一個(gè)名為larava -148的子組織，他們幫助購(gòu)買用于網(wǎng)絡(luò)釣魚活動(dòng)的域名，管理主機(jī)，并建立基礎(chǔ)設(shè)施。

Larva-148有可能向EncryptHub出售域名和網(wǎng)絡(luò)釣魚工具包，盡管它們之間的確切關(guān)系尚未被破譯。

惡意軟件部署

一旦EncryptHub入侵目標(biāo)系統(tǒng)，它就會(huì)部署各種PowerShell腳本和惡意軟件來獲得持久性、遠(yuǎn)程訪問、竊取數(shù)據(jù)和加密文件。

首先，他們會(huì)欺騙受害者安裝RMM軟件，如AnyDesk、TeamViewer、ScreenConnect、Atera和Splashtop。這使得他們能夠遠(yuǎn)程控制受損的系統(tǒng)，保持長(zhǎng)期訪問，并使橫向移動(dòng)成為可能。

接下來，他們使用不同的PowerShell腳本來部署信息竊取程序，如Stealc、Rhadamanthys和變幻無(wú)常的Stealer，以竊取存儲(chǔ)在web瀏覽器中的數(shù)據(jù)。這些數(shù)據(jù)包括保存的憑據(jù)、會(huì)話cookie和加密貨幣錢包密碼。

攻擊中使用的自定義PowerShell腳本

在Linux和Mac設(shè)備上執(zhí)行類似行為的Python腳本中，威脅者試圖從被破壞的系統(tǒng)中竊取大量數(shù)據(jù)，包括：

·來自各種加密貨幣錢包的數(shù)據(jù)，包括MetaMask，以太坊錢包，Coinbase錢包，Trust錢包，Opera錢包，Brave錢包，TronLink， Trezor錢包等。

·各種VPN客戶端的配置數(shù)據(jù)，包括Cisco VPN Client、forticclient、Palto Alto Networks GlobalProtect、OpenVPN、WireGuard等。

·來自流行密碼管理器的數(shù)據(jù)，包括Authenticator、1Password、 NordPass、DashLane、Bitwarden,RoboForm、Keeper、 MultiPassword、 KeePassXC和LastPass。

·匹配特定擴(kuò)展名或文件名包含特定關(guān)鍵字的文件，包括圖片、RDP連接文件、Word文檔、Excel電子表格、CSV文件、證書等。目標(biāo)文件名中的一些關(guān)鍵字包括“pass”，“account”，“auth”，“2fa”，“wallet”，“seedphrase”，“recovery”，“keepass”，“secret”等等。

Larva-208的最后一個(gè)威脅是以基于powershell的自定義加密器的形式出現(xiàn)的勒索軟件，該加密器使用AES加密文件并附加“。加密”擴(kuò)展名，刪除原始文件。

受害者收到一封勒索信，要求用USDT通過電報(bào)支付贖金。

Larva-208的勒索信

Prodaft表示，EncryptHub是一個(gè)老練的惡意分子，它會(huì)為提高攻擊效率而量身定制攻擊計(jì)劃，對(duì)大型組織進(jìn)行高價(jià)值的攻擊。

本報(bào)告中研究的LARVA-208魚叉式網(wǎng)絡(luò)釣魚行為表明，有針對(duì)性的網(wǎng)絡(luò)攻擊越來越復(fù)雜。通過采用高度定制的策略，先進(jìn)的混淆方法和精心制作的誘餌，威脅者已經(jīng)展示了逃避檢測(cè)和破壞高價(jià)值目標(biāo)的重要能力。

參考及來源：https://www.bleepingcomputer.com/news/security/encrypthub-breaches-618-orgs-to-deploy-infostealers-ransomware/

來源：嘶吼專業(yè)版