Aktor ancaman yang dilacak sebagai ‘Encrypthub,’ alias Larva-208, telah menargetkan organisasi di seluruh dunia dengan serangan tombak dan rekayasa sosial untuk mendapatkan akses ke jaringan perusahaan.
Menurut sebuah laporan oleh Propaft, yang diterbitkan secara internal minggu lalu dan dipublikasikan kemarin, sejak Juni 2024, ketika EncrypThub memulai operasi, ia telah dikompromikan setidaknya 618 organisasi.
Setelah mendapatkan akses, aktor ancaman menginstal perangkat lunak pemantauan dan manajemen jarak jauh (RMM), diikuti oleh penyebaran pencuri informasi seperti StealC dan Rhadamanthys. Dalam banyak kasus yang diamati, Enrypthub juga menggunakan ransomware pada sistem yang dikompromikan.
ProPaft mengatakan kepada BleepingComputer bahwa kelompok ancaman berafiliasi dengan Ransomhub dan Blacksuit, setelah menggunakan kedua enkripsi ransomware di masa lalu dan mungkin bertindak sebagai broker akses awal untuk mereka atau afiliasi langsung.
Namun, dalam banyak serangan yang diamati oleh para peneliti, para aktor ancaman menggunakan Encryptor Data PowerShell khusus, sehingga mereka mempertahankan varian mereka sendiri juga.
Mendapatkan akses awal
Serangan Larva-208 melibatkan phishing SMS, phishing suara, dan halaman login palsu yang meniru produk VPN perusahaan seperti Cisco AnyConnect, Palo Alto Global Protect, Fortinet, dan Microsoft 365.
Sumber: ProDaft
Para penyerang biasanya menyamar sebagai dukungan TI dalam pesan mereka ke target, mengklaim masalah dengan akses VPN atau masalah keamanan dengan akun mereka, mengarahkan mereka untuk masuk di situs phishing.
Korban menerima tautan yang mengarahkan mereka ke halaman login phishing di mana kredensial dan token otentikasi multi-faktor (MFA) (cookie sesi) ditangkap secara real-time.
Setelah proses phishing selesai, korban dialihkan ke domain nyata layanan untuk menghindari menimbulkan kecurigaan.
Sumber: ProDaft
Encrypthub telah membeli lebih dari 70 domain yang meniru produk tersebut, seperti ‘LinkWebCisco.com’ dan ‘Weblinkteams.com,’ untuk meningkatkan legitimasi yang dirasakan dari halaman phishing.
Situs phishing di -host di penyedia hosting anti peluru seperti Yalishanda, yang menurut ProPaft biasanya tidak menanggapi permintaan pencopotan yang dibenarkan.
ProPaft juga menemukan ada subkelompok lain yang dilacak sebagai Larva-148, yang membantu membeli domain yang digunakan dalam kampanye phishing, mengelola hosting, dan menyiapkan infrastruktur.
Mungkin saja Larva-148 menjual domain dan kit phishing ke Enrypthub, meskipun hubungan mereka yang tepat belum diuraikan.
Menggunakan malware
Setelah EncrypThub melanggar sistem yang ditargetkan, ia menggunakan berbagai skrip PowerShell dan malware untuk mendapatkan kegigihan, akses jarak jauh, mencuri data, dan mengenkripsi file.
Pertama, mereka menipu para korban untuk menginstal perangkat lunak RMM seperti AnyDesk, TeamViewer, Screenconnect, Atera, dan Splashtop. Ini memungkinkan mereka untuk mengontrol sistem yang dikompromikan dari jarak jauh, mempertahankan akses jangka panjang, dan memungkinkan gerakan lateral.
Selanjutnya, mereka menggunakan skrip PowerShell yang berbeda untuk menggunakan infostealer, seperti StealC, Rhadamanthys, dan Fickle Stealer, untuk mencuri data yang disimpan di browser web. Data ini mencakup kredensial yang disimpan, cookie sesi, dan sandiwara dompet cryptocurrency.
Sumber: ProDaft
BleepingComputer juga telah melihat skrip Python yang melakukan perilaku serupa untuk perangkat Linux dan Mac.
Dalam sampel skrip yang dilihat oleh BleepingComputer, aktor ancaman mencoba mencuri sejumlah besar data dari sistem yang dilanggar, termasuk:
- Data dari berbagai dompet cryptocurrency, termasuk Metamask, dompet Ethereum, dompet Coinbase, dompet kepercayaan, dompet opera, dompet pemberani, tronlink, dompet trezor, dan banyak lainnya.
- Data konfigurasi untuk berbagai klien VPN, termasuk Cisco VPN Client, Forticlient, Palto Alto Networks GlobalProtect, OpenVPN, dan Wireguard.
- Data dari manajer kata sandi populer, termasuk Authenticator, 1Password, Nordpass, Dashlane, Bitwarden, Roboform, Keeper, Multipassword, KeepassXC, dan LastPass.
- File yang cocok dengan ekstensi tertentu atau yang namanya berisi kata kunci tertentu, termasuk gambar, file koneksi RDP, dokumen Word, spreadsheet Excel, file CSV, dan sertifikat. Beberapa kata kunci dalam nama file yang ditargetkan termasuk “lulus”, “akun”, “auth”, “2fa”, “dompet”, “seedphrase”, “pemulihan”, “Keepass”, “rahasia”, dan banyak lainnya.
Ancaman akhir Larva-208 adalah ransomware dalam bentuk enkriptor berbasis PowerShell khusus yang mengenkripsi file menggunakan AES dan menambahkan ekstensi “.crypted”, menghapus file asli.
Catatan tebusan dihasilkan untuk para korban, menuntut pembayaran tebusan di USDT melalui telegram.
Sumber: ProDaft
ProPaft mengatakan Encrypthub adalah aktor ancaman canggih yang menyesuaikan serangannya untuk efektivitas yang lebih baik, mencapai pelanggaran bernilai tinggi pada organisasi besar.
“Aktor Larva-208 Spear-Fishing yang diperiksa dalam laporan ini mencontohkan peningkatan kecanggihan serangan cyber yang ditargetkan,” memperingatkan ProPaft.
“Dengan menggunakan taktik rekayasa sosial yang sangat disesuaikan, metode pengayaan canggih, dan umpan yang dibuat dengan cermat, aktor ancaman ini telah menunjukkan kemampuan yang signifikan untuk menghindari deteksi dan membahayakan target bernilai tinggi.”
