Kant's IT/Issue on IT&Security
EncryptHub 악용한 다단계 악성코드 공격 확산
Kant Jo
2025. 4. 13. 20:35
Threat Actors Exploit EncryptHub for Multi-Stage Malware Attacks
Threat Actors Exploit EncryptHub for Multi-Stage Malware Attacks
EncryptHub, a rising cybercriminal entity, has been under scrutiny by multiple threat intelligence teams, including Outpost24's KrakenLabs.
gbhackers.com
- 개요
- 사이버 범죄 조직 EncryptHub가 악성코드 배포에 악용되며, 다양한 공격자 집단이 이를 활용한 다단계 공격 캠페인을 수행 중
- 위협 인텔리전스 기업 Outpost24의 KrakenLabs 등 다수의 보안팀이 EncryptHub의 활동을 추적 중
- EncryptHub는 RAT(Remote Access Trojan), 정보 탈취형 악성코드, 랜섬웨어를 결합한 공격 체계를 운영
- EncryptHub 플랫폼 특성
- 사이버 범죄용 유통 플랫폼으로 기능하며, 악성코드의 패키징, 난독화, 배포를 지원
- 다단계 로더 및 암호화 도구를 통해 안티바이러스 회피 가능
- 주요 기능은 다양한 페이로드 지원, 커스텀 빌더, 탐지 우회 기능 내장
- 공격 흐름 및 기술
- 초기 단계: 피싱 이메일 또는 드라이브-바이 다운로드 기법으로 사용자 감염 유도
- 중간 단계
- 첫 번째 로더가 실행 파일 또는 PowerShell 스크립트로 사용자 PC에 상주
- EncryptHub 기반의 드롭퍼 또는 스테이저가 최종 페이로드 다운로드
- 최종 단계
- EncryptRAT, 정보 탈취형 악성코드(Lumma, Redline 등), 랜섬웨어 배포
- 사용자 인증정보, 브라우저 캐시, 암호화폐 지갑 정보 탈취
- 암호화 및 탐지 회피 기법
- AES, RC4 기반 암호화를 통해 페이로드 암호화
- 코드 난독화 및 환경 인식 기법으로 동적 분석 회피
- 디버거, 가상환경 탐지(예: IsDebuggerPresent, VM artifact 탐색)
- 위협 확산 및 연계 분석
- EncryptHub는 다양한 공격자 집단에 의해 사용되고 있으며 RaaS(Ransomware-as-a-Service) 형태로도 활용
- LARVA-208과 같은 조직이 EncryptHub를 기반으로 랜섬웨어 및 정보 탈취 캠페인을 전개한 것으로 분석됨
- 최근 GitHub, Discord, 파일 공유 플랫폼 등을 악성코드 유포 경로로 악용
- 결론 및 보안 권고
- EncryptHub는 단순한 악성코드 빌더를 넘어, 지속적 업데이트 및 기능 확장을 거듭하는 위협 플랫폼
- 기업 및 기관은 다음과 같은 대응이 필요
- 첨부 파일 및 링크 기반 이메일 보안 강화
- EPP/EDR의 스크립트 탐지 및 실행 차단 정책 강화
- SIEM 기반 다단계 공격 탐지 룰 수립
- EncryptHub, EncryptRAT, LARVA-208 관련 IoC 기반 탐지 체계 적용