Manoma, kad „Encrypthub“, garsus grėsmės veikėjas, susijęs su pažeidimais 618 organizacijose, pranešė apie du „Windows“ nulinės dienos pažeidžiamumus „Microsoft“, atskleidžiant prieštaringą figūrą, peržengiančią liniją tarp elektroninių nusikaltimų ir saugumo tyrimų.
Pranešta, kad pažeidžiamumas yra CVE-2025-24061 (žiniatinklio aplinkkelio ženklas) ir CVE-2025-24071 („File Explorer Spoofing“), į kuriuos „Microsoft“ kreipėsi per antradienio 2025 m. Kovo mėn. Pataisą, pripažindama reporterį kaip „Skorikari su Skorikari“.
Šaltinis: „Microsoft“
Nauja „Outpost24“ tyrėjų ataskaita dabar susiejo „Encrypthub“ grėsmės aktorių su Skorikari po to, kai grėsmės aktorius tariamai užkrėtė save ir atskleidė jų įgaliojimus.
Ši ekspozicija leido tyrėjams susieti grėsmės veikėją su įvairiomis internetinėmis paskyromis ir atskleisti asmens, kuris išsiskyrė tarp kibernetinio saugumo tyrėjo ir kibernetinio kriminalo, profilį.
Viena iš atskleistų paskyrų yra „Skorikari“, kuria įsilaužėlis panaudojo du paminėtus „Microsoft“ nulinės dienos pažeidžiamumus ir prisidėjo prie „Windows Security“.
„OutPost24“ saugumo analitikas Hector Garcia sakė „Bleepingcomputer“, kad „Skorikari“ ryšys su „Encrypthub“ yra pagrįstas keliais įrodymais, sudarančiais didelio pasitikėjimo vertinimą.
„Sunkiausi įrodymai buvo iš to, kad slaptažodžių failai„ Encryphub “iš jo paties sistemos buvo išsekę sąskaitos, susietos su„ Encrypthub “, pavyzdžiui,„ Encryptrat “įgaliojimais, kurie vis dar buvo kuriami, arba jo sąskaita XSS.IS ir„ Skorikari “, pavyzdžiui, prieigos prie laisvai samdomų vietų ar jo paties Gmailo sąskaitos“, – paaiškino Garcia.
„Taip pat buvo prisijungimas prie hxxps: // github (.) Com/Skorikjr, kuris buvo paminėtas liepos mėn.„ Fortinet “straipsnyje apie„ Fickle Vairer “, sujungdamas visa tai.”
„Kitas didžiulis ryšio tarp dviejų ryšių patvirtinimas buvo pokalbiai su ChatGPT, kur galima pastebėti veiklą tiek su„ Encrypthub “, tiek su Skorikari.”
„Encrypthub“ įsipareigojimas nulinėms dienoms nėra naujas, nes grėsmės aktorius ar vienas iš narių bando parduoti nulines dienas kitiems kibernetiniams nusikaltimams įsilaužimo forumuose.
Šaltinis: „BleepingComputer“
„Outpost24“ įsitraukė į „Encrypthub“ kelionę, teigdamas, kad įsilaužėlis kelis kartus keičiasi tarp laisvai samdomų vystymosi darbo ir kibernetinių nusikaltimų veiklos.
Nepaisant akivaizdžios IT kompetencijos, įsilaužėlis, kaip pranešama, tapo blogos OPSEC praktikos, kuri leido atskleisti jo asmeninę informaciją, auka.
Tai apima įsilaužėlių naudojimą „ChatGPT“ kenkėjiškų programų ir sukčiavimo svetainių kūrimui, trečiųjų šalių kodo integravimui ir pažeidžiamumų tyrimus.
Grėsmės aktorius taip pat turėjo gilesnį asmeninį ryšį su „Openai“ LLM Chatbot, vienu atveju apibūdindamas jo pasiekimus ir paprašė AI priskirti jį šauniam įsilaužėliui ar kenksmingam tyrėjui.
Remdamasis pateiktomis įvestimis, ChatGPT įvertino jį kaip 40% juodos skrybėlės, 30% pilkos skrybėlės, 20% baltos skrybėlės ir 10% neaiškių, atspindinčių morališkai ir praktiškai prieštaringą asmenį.
Tas pats konfliktas atsispindi jo ateityje planuojant „ChatGpt“, kur įsilaužėlis prašo „Chatbot“ pagalbos organizuojant didžiulę, bet „nekenksmingą“ kampaniją, darančią dešimtis tūkstančių kompiuterių viešumo.
Šaltinis: „Outlook24“
Kas yra „Encrypthub“
„Encrypthub“ yra grėsmės aktorius, kuris, kaip manoma, yra laisvai susijęs su „Ransomware Gangs“, tokiomis kaip „RansomHub“ ir „The Blacksit Operations“.
Tačiau visai neseniai grėsmės veikėjai pavadino save įvairiomis socialinės inžinerijos kampanijomis, sukčiavimo apsimetant išpuoliais ir sukūrė pasirinktinį „PowerShell“ pagrindu sukurtą infostealerį, vardu Fickle Vaireris.
Grėsmės aktorius taip pat žinomas kaip socialinės inžinerijos kampanijų vykdymas, kai jie sukuria socialinės žiniasklaidos profilius ir svetaines, skirtas fiktyvioms programoms.
Viename pavyzdyje tyrėjai nustatė, kad grėsmės aktorius sukūrė X sąskaitą ir svetainę projekto valdymo programai, vadinamai „Gartorispace“.
Šaltinis: „BleepingComputer“
Ši svetainė buvo reklamuojama per privačius pranešimus socialinės žiniasklaidos platformose, kuriose būtų pateiktas kodas, reikalingas programinės įrangos atsisiuntimui. Atsisiunčiant programinę įrangą, „Windows“ įrenginiai gautų PPKG failą („Virustotal“), kuris įdiegė „Fickle Vairer“, o „Mac“ įrenginiai gautų „AMOS“ informacijos vaišę („Virustotal“).
„Encrypthub“ taip pat buvo susietas su „Windows“ nulinės dienos atakomis, išnaudojančiomis „Microsoft Management Console“ pažeidžiamumą, stebimą kaip CVE-2025-26633. Trūkumas buvo nustatytas kovo mėnesį, tačiau buvo priskirtas tendencijos mikro, o ne grėsmės aktoriui.
Apskritai, atrodo, kad grėsmės veikėjų kampanijos dirba jiems kaip „Prodaft“ pranešimas sako, kad grėsmės veikėjai pažeidė daugiau nei šešis šimtus organizacijų.
Remdamiesi 14 m kenkėjiškų veiksmų analize, atraskite 10 geriausių „MitRAT ATT & CK“ metodų, esančių už 93% išpuolių ir kaip ginti nuo jų.
