複数ライセンス割引見積
脅威データベース リモート管理ツール EncryptRAT

EncryptRAT

リモート管理ツールMezoまで
翻訳内容:
日本語

EncryptHub として知られる金銭目的の脅威アクターは、情報窃盗やランサムウェアを展開する高度なフィッシング キャンペーンを積極的に組織しています。さらに、このグループは EncryptRAT と呼ばれる新しい脅威ツールの開発に取り組んでおり、サイバー犯罪の分野での継続的な進化を示しています。

人気のアプリケーションをターゲットにしてPPIサービスを使用する

EncryptHub は、広く使用されているアプリケーションのトロイの木馬化されたバージョンを配布して、被害者のシステムに侵入していることが確認されています。また、このグループは、LabInstalls などのサードパーティの Pay-Per-Install (PPI) サービスを利用して、マルウェア キャンペーンの範囲を拡大しています。

運用上のセキュリティミスとエクスプロイトの利用

サイバーセキュリティ研究者は、EncryptHub を、運用上のセキュリティ エラーを頻繁に起こすハッキング グループであると特定しました。これらのエラーにもかかわらず、このグループは、広く知られているセキュリティの脆弱性を悪用した攻撃をうまく組み込んでおり、継続的な脅威となっています。

新たな脅威: LARVA-208 とマルチチャネル攻撃

スイスのサイバーセキュリティ企業によってLARVA-208としても追跡されているEncryptHubは、2024年6月に活動を開始したと考えられています。このグループは、SMSフィッシング(スミッシング)や音声フィッシング(ビッシング)などのさまざまな攻撃ベクトルを使用して、被害者を騙してリモート監視および管理(RMM)ソフトウェアをインストールさせます。

主要なランサムウェアグループとの提携

EncryptHub はRansomHubおよびBlacksuit Ransomwareグループと密接な関係があります。過去 9 か月間で、高度なソーシャル エンジニアリング手法を使用して、複数の業界にわたる 618 を超える高価値ターゲットを侵害しました。一般的な手口は、VPN 認証情報を盗むように設計されたフィッシング Web サイトに続いて、IT サポートを装った電話がかかってきて被害者に詳細情報を入力させるというものです。電話が使われない場合は、偽の Microsoft Teams リンクが餌として機能します。

防弾ホスティングとマルウェアの展開

検出を回避するため、EncryptHub は Yalishand などの防弾ホスティング プロバイダーでフィッシング サイトをホストしています。アクセスが成功すると、攻撃者は PowerShell スクリプトを実行して、 FickleStealCRhadamanthysなどの情報窃取型マルウェアをインストールします。ほとんどの場合、最終的な目的はランサムウェアを展開して身代金を強要することです。

トロイの木馬化されたアプリケーションが主要な侵入ポイントとなる

よく使われるもう 1 つの方法は、マルウェアを正規のソフトウェアに偽装することです。EncryptHub は、QQ Talk、QQ Installer、WeChat、DingTalk、VooV Meeting、Google Meet、Microsoft Visual Studio 2022、Palo Alto Global Protect などのアプリケーションの偽バージョンを配布しています。インストールされると、これらの偽造アプリケーションは多段階のプロセスを開始し、最終的には Kematian Stealer などの安全でないペイロードを配信して、ブラウザーの Cookie やその他の機密データを収集します。

LabInstalls: マルウェア配布の重要な要素

少なくとも 2025 年 1 月 2 日以降、EncryptHub は、有料で大量のマルウェアのインストールを提供する PPI サービスである LabInstalls に依存しています。価格は、100 回のロードで 10 ドルから、10,000 回のロードで 450 ドルまでです。EncryptHub は、ロシア語圏の地下フォーラムに肯定的なフィードバックを残し、証拠としてスクリーンショットを共有することで、このサービスを使用していることを確認しました。これは、攻撃者がより効率的に活動を拡大するために配布をアウトソーシングしていることを示唆しています。

EncryptRAT: サイバー犯罪の新たな進化

EncryptHub は、感染したシステムの管理、リモート コマンドの実行、盗まれたデータへのアクセスを目的としたコマンド アンド コントロール (C2) パネルである EncryptRAT の開発を積極的に進めています。このグループがこのツールの商用化を計画している可能性を示唆する証拠もあり、企業や個人に対する脅威が増大する可能性があります。

警戒と積極的な防御の必要性

EncryptHub の継続的な適応と進化は、組織が多層セキュリティ戦略を採用する必要性を浮き彫りにしています。継続的な監視、プロアクティブな防御策、およびユーザー意識向上トレーニングは、増大するサイバー脅威によってもたらされるリスクを軽減するために不可欠です。

トレンド

Ervoql アプリ

望ましくない可能性のあるプログラム, アドウェア, ブラウザハイジャッカー
侵入的で信頼できないアプリケーションからデバイスを保護することは、これまで以上に重要です。潜在的に不要なプログラム (PUP) は無害に見えますが、多くの場合、セキュリティ、プライバシー、システム パフォーマンスを危険にさらすリスクをもたらします。その一例が Ervoql アプリです。このアプリは、Legion Loader やその他の疑わしいコンポーネントとの関連性から、特に問題のあるアプ...

ValidInitiator

Mac マルウェア, アドウェア, 望ましくない可能性のあるプログラム
Mac ユーザーは、システムを危険にさらす可能性のある潜在的に不要なプログラム (PUP) に対して警戒を怠ってはなりません。これらの侵入型アプリケーションは、便利なユーティリティを装うことがよくありますが、積極的な広告活動を行ったり、ブラウジング体験を妨害したり、明示的な同意なしに機密データを収集したりすることがあります。ValidInitiator はその一例であり、その影響を理解するこ...

Enigma Software GroupのSpyHunterは、AV-TESTから100%の有効性スコ...

お知らせ
Enigma Software Group USA、LLC(以下ESG)は本日、SpyHunter® アンチマルウェア製品は、高い評価を受けている独立したITセキュリティ試験機関であるAV-TEST GmbHによって管理されたマルウェアの検出および修復テストにおいて、100%の完全な有効性スコアを取得しました。SpyHunterのレポートは、AV-TEST修復テストレポートで入手でき...

最も見られました

Discord 灰色の画面で立ち往生

問題
71,140
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...

「プリンタドライバが利用できません」エラーを修正する方法

問題
63,572
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
59,423
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...