知名黑客组织付费传播恶意软件，第三方安装服务盛行

以经济利益为驱动的黑客组织EncryptHub正通过精心策划的钓鱼攻击部署窃密程序和勒索软件，同时还开发了一款名为EncryptRAT的新产品。

Outpost24 KrakenLabs在一份提交给The Hacker News的新报告中表示："EncryptHub通过分发木马化版本，针对流行应用的用户发起攻击。此外，该威胁攻击者还使用了第三方的按安装付费（PPI）分发服务。"这家网络安全公司将该威胁攻击者描述为一个在操作安全方面存在错误，并将针对流行安全漏洞的利用程序整合到攻击活动中的黑客组织。

EncryptHub也被瑞士网络安全公司PRODAFT追踪为LARVA-208，据评估该组织自2024年6月底开始活跃，并通过短信钓鱼（smishing）和语音钓鱼（vishing）等多种方式试图诱骗目标安装远程小红书综合引流工具(正版自动更新)-集采集|监控|关注|评论|点赞|截留养号为一体的小红书综合营销工具和管理（RMM）软件。

该公司告诉The Hacker News，该鱼叉式钓鱼组织与RansomHub和Blacksuit勒索软件组织有关联，并利用先进的社会工程技术渗透多个行业中的高价值目标。

钓鱼攻击手法解析

PRODAFT表示："攻击者通常会创建一个针对特定组织的钓鱼网站，以获取受害者的VPN凭证。然后，他们冒充IT团队或帮助台，致电受害者并要求其在钓鱼网站上输入详细信息以解决技术问题。如果攻击通过短信而非电话进行，则会使用伪造的Microsoft Teams链接来说服受害者。"

这些钓鱼网站托管在像Yalishand这样的防弹主机服务提供商上。一旦成功获取访问权限，EncryptHub便会运行PowerShell脚本，进而部署诸如Fickle、StealC和Rhadamanthys等窃密恶意软件。大多数情况下，攻击的最终目的是部署勒索软件并索取赎金。

木马化应用与PPI服务

威胁攻击者常用的另一种方法是使用伪装成合法软件的带有木马程序的应用进行初始访问。这些假冒软件包括QQ Talk、QQ Installer、微信、钉钉、VooV Meeting、Google Meet、Microsoft Visual Studio 2022和Palo Alto Global Protect等。

一旦安装这些带有陷阱的应用，便会触发多阶段进程，这些进程充当了下一阶段有效载荷的传播媒介，比如Kematian Stealer，以协助窃取Cookies。

自2025年1月2日起，EncryptHub分发链中的关键组成部分便是使用了一款名为LabInstalls的第三方PPI服务。该服务为付费客户提供批量恶意软件安装服务，价格从100次安装的40美元到10000次安装的450美元不等。

Outpost24表示："EncryptHub确实通过在顶级俄语地下论坛XSS的LabInstalls销售主题中留下正面反馈确认了其客户身份，甚至包含了一张证明使用该服务的截图。该威胁攻击者很可能雇佣这项服务以减轻分发负担并扩大其恶意软件所能触及的目标数量。"

EncryptHub的持续演变

这些变化突显了EncryptHub对其攻击链的积极调整。该威胁攻击者还开发了新的组件，如EncryptRAT，一款用于管理活跃感染、发布远程命令和访问被盗数据的命令与控制（C2）面板。有证据表明，对手可能正在寻求对该工具进行商业化。

该公司表示："EncryptHub持续演变其战术，强调了持续小红书综合引流工具(正版自动更新)-集采集|监控|关注|评论|点赞|截留养号为一体的小红书综合营销工具和主动防御措施的迫切需要。各组织必须保持警惕，并采用多层安全策略，以减轻此类对手带来的风险。"