上個月微軟修補微軟管理主控臺(MMC)零時差漏洞CVE-2025-26633(MSC EvilTwin),通報此事的趨勢科技指出,將其用於實際攻擊的駭客身分,為匿稱為EncryptHub、LARVA-208、Water Gamayun的俄羅斯駭客組織,這些人利用上述漏洞,在受害組織部署多種惡意程式,其中包括竊資軟體Rhadamanthys、StealC、EncryptHub,以及後門程式DarkWisp、SilentPrism。有另一家資安業者針對該組織進行調查,指出駭客不只從事網路犯罪,也一方面從事白帽駭客的工作,向企業通報漏洞賺取獎金。
資安業者Outpost24指出,他們針對EncryptHub著手進行調查,結果發現駭客一系列的操作安全(OPSEC)失誤,曝露了該組織的生態系統關鍵元件,使得研究人員能夠更深入映射駭客的手法,並詳細剖析他們的攻擊鏈。
研究人員指出,他們確認駭客使用PowerShell指令碼進行多階段攻擊,收集系統資料、外流有價值的資訊、迴避偵測、注入惡意酬載,以及部署竊資軟體。駭客偏好優先竊取含有帳密資料的事件記錄檔案,使用按部署惡意軟體數量付費(Pay-Per-Install,PPI)的第三方服務散布惡意程式,此外,他們也相當關切資安態勢,會將特定漏洞用於實際攻擊。附帶一提的是,這些駭客疑似也想要打造名為EncryptRAT的遠端存取工具,向其他網路罪犯兜售。
但特別的是,Outpost24發現該組織背後,其實是1名10年前逃離家鄉烏克蘭的人士。此人一邊工作一邊自學電腦相關技能,直到2022年初疑似因入獄而停止活動,出獄後以網頁及應用程式開發服務接案,除此之外,他也投入漏洞懸賞抓漏,但僅有少數成果。EncryptHub在收入不足的情況下,於2024年上半開始從事網路犯罪。
研究人員特別提及,EncryptHub一面從事網路犯罪,卻也想要參與資安研究員的工作,其中兩個微軟於今年3月修補的資安漏洞CVE-2025-24061、CVE-2025-24071,就是EncryptHub使用SkorikARI的名字成功通報。但Outpost24認為,EncryptHub很有可能也將上述兩項漏洞用於攻擊行動。
Outpost24特別強調EncryptHub廣泛在網路犯罪的各式工作運用ChatGPT的現象,此人透過AI聊天機器人打造了Telegram機器人、C2伺服器、釣魚網站、郵件伺服器,以及位於洋蔥網路(.onion)的服務,甚至編寫惡意程式,或是用來了解他人製作的程式碼並改進,以及與自己的作案工具整合。
此外,EncryptHub也使用ChatGPT進行寫作及翻譯,甚至討論未來的職涯──繼續從事網路犯罪,還是轉戰白帽駭客。
但究竟研究人員如何得知如此詳盡的細節?Outpost24指出,EncryptHub重覆使用相似的密碼(200個帳號有82組密碼幾乎相同),將駭客活動與個人生活混合使用相同的網路帳號、電子郵件信箱及基礎設施,再者,駭客建置的C2伺服器並未採取適當保護措施,任何人都能在不需通過身分驗證的情況下存取所有檔案,因此他們才能掌握相關資訊。
