新兴恶意软件威胁行为体EncryptHub已入侵600多家组织，其运营细节及攻击链被研究人员揭露。

　　Outpost24的KrakenLabs威胁情报团队在周四的博客文章中概述了该恶意软件运营的内部机制，包括其结构以及感染和管理受感染系统的技术。

　　据KrakenLabs称，有关EncryptHub战术的新信息之所以被披露，是因为威胁行为体自身在运营安全方面存在疏漏。研究人员指出，EncryptHub关键基础设施组件的目录列表功能已启用，窃取器日志与恶意软件可执行文件和PowerShell脚本托管在一起，并且用于支持EncryptHub恶意软件活动的Telegram机器人配置也被曝光。

　　KrakenLabs还发现了一条多阶段攻击链，该攻击链始于安装特洛伊木马应用程序，这些应用程序会执行PowerShell脚本来下载额外的恶意有效载荷。这些特洛伊木马应用程序仿冒了包括微信、Google Meet、Microsoft Visual Studio 2022、Palo Alto Global Protect、QQ Talk、QQ Installer、钉钉和VooV Meeting在内的流行合法应用程序。

　　EncryptHub的攻击链

　　PowerShell脚本会下载名为payload.ps1的文件，该文件会从受害者的计算机中提取敏感数据，包括加密货币钱包、密码管理器、VPN会话、系统和cookie信息，并将其外泄到攻击者的服务器上。

　　之后，payload.ps1会下载并执行另一个名为runner.ps1的脚本，该脚本会导致安装并运行两个Microsoft Common Console Document（MMC）文件。运行这些文件会安装一个HTML加载器，该加载器会执行另外三个PowerShell命令，这些命令会排除Windows Defender对TEMP文件夹的扫描，终止执行MCS脚本时启动的先前Microsoft Management Console进程，并下载文件ram.ps1。

　　Ram.ps1在攻击链的最后阶段运行，启动并执行名为Rhadamanthys的信息窃取器。据PRODAFT的一份报告称，其他研究人员也观察到EncryptHub（又称LARVA-208）在其活动中传播了包括Stealc和Fickle Stealer在内的其他恶意软件。

　　EncryptHub使用中介分发恶意软件，在EncryptRAT C2面板上运作KrakenLabs揭露的EncryptHub运营的另一个细节是，它使用名为LabInstalls的第三方按安装付费（PPI）中介来帮助传播恶意软件。LabInstalls有助于自动化包括可执行文件（.exe）和PowerShell脚本（.ps1）在内的恶意文件的分发，并根据安装数量收费，从100次安装的10美元到10000次安装的450美元不等。

　　研究人员指出，至少在2025年1月，EncryptHub就已经在使用LabInstalls，这一点可以从EncryptHub在网络犯罪论坛XSS上为该服务留下的正面评价中得到证实。KrakenLabs指出，网络犯罪分子使用此类PPI中介服务可以更快速地传播恶意软件，并更好地掩盖其攻击活动的来源。

　　此外，还发现EncryptHub正在开发自己的项目EncryptRAT，该项目被描述为一个命令和控制（C2）面板，供用户管理其活动的恶意软件感染、发送远程命令、监控受感染设备的日志以及配置恶意软件样本和外泄通道。

　　据信，EncryptHub目前正在使用该工具管理自己的活动，并可能计划在未来将该工具出售给其他威胁行为体。EncryptRAT面板最近的更新增加了对多用户的支持，并将不同用户链接到不同的恶意软件样本，这表明EncryptRAT有可能实现商业化。

　　EncryptHub继续开发和改进EncryptRAT及其整体战术，这要求网络安全防御者保持警惕，监控EncryptHub的入侵指标（IOC），并确保仅从合法来源安装受信任的应用程序，以防止感染。