EncryptHub Deploys Ransomware and Stealer via Trojanized Apps, PPI Services, and Phishing
- 공격 개요
- EncryptHub는 금전적 목적의 위협 행위자로, 2024년 6월 이후 활발히 활동 중
- 다양한 피싱 수법(SMS 피싱, 음성 피싱)을 통해 RMM(Remote Monitoring & Management) 도구를 설치하도록 유도
- RansomHub 및 Blacksuit 랜섬웨어 그룹과 연계된 스피어피싱 그룹으로 평가됨
- 공격 기법 및 침투 수단
- 기업 IT 지원팀을 사칭한 전화 및 문자로 피해자의 VPN 자격 증명 탈취
- 마이크로소프트 팀즈(Microsoft Teams) 등 신뢰할 수 있는 플랫폼을 위장하여 악성 링크 유포
- 피싱 사이트는 Yalishand 등 불법 호스팅 서비스 사용
- 파워셸(PowerShell) 스크립트를 통해 정보탈취형 악성코드(Fickle, StealC, Rhadamanthys) 배포 후 랜섬웨어 실행
- 트로이화 애플리케이션 유포
- QQ Talk, WeChat, DingTalk, Google Meet, Microsoft Visual Studio 등 인기 애플리케이션 위장
- 설치 시 단계적 악성 행위 수행
- 쿠키 탈취용 Kematian Stealer 등 차세대 페이로드 배포
- C2 통신, 시스템 감염 유지, 정보 수집 수행
- Pay-Per-Install(PPI) 서비스 활용
- LabInstalls라는 제3자 PPI 플랫폼을 통해 악성코드 대량 배포
- 최소 $10(100회 설치)부터 최대 $450(10,000회 설치)까지 다양한 요금제로 운영
- EncryptHub가 직접 포럼에 긍정적 피드백 남기며 서비스 사용 인증
- EncryptRAT 개발
- EncryptHub는 자체 C2 인프라 EncryptRAT를 개발 중
- 감염 장비 관리, 원격 명령 실행, 탈취 데이터 접근 기능 포함
- EncryptRAT의 상업적 판매 가능성도 존재
- 결론
- EncryptHub는 기술적 진화를 거듭하며 정보 탈취 및 랜섬웨어 유포 역량을 확대하고 있음
- 조직은 사용자 대상의 피싱 대응 교육과 첨단 위협 탐지 체계, 다계층 보안 전략을 필수적으로 적용해야 함
- 악성 앱 유포 채널 차단, PPI 기반 배포 인프라 식별 및 대응, RMM 도구 이상징후 모니터링이 요구됨
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 중국계 Lotus Blossom APT 그룹, Sagerunex 백도어로 아시아 지역 다중 산업 타깃 (0) | 2025.04.01 |
|---|---|
| Medusa 랜섬웨어, 2025년 들어 40건 이상 공격, 최대 1,500만 달러 요구 (0) | 2025.04.01 |
| PrintSteal 사이버 범죄 그룹의 대규모 위조 Aadhaar 및 PAN 카드 제작 활동 분석 (0) | 2025.04.01 |
| EvilLoader, Telegram 안드로이드용 제로데이 취약점 악용 통한 악성코드 설치 캠페인 (0) | 2025.04.01 |
| 클라우드 서비스의 'Any/Any' 통신 구성 악용한 악성코드 호스팅 사례 분석 (0) | 2025.04.01 |