'EncryptHub'라는 이름의 위협 요소는 스피어 피싱과 소셜 엔지니어링 공격을 통해 전 세계 기업 네트워크에 접근하고 있습니다. Prodaft의 보고서에 따르면, EncryptHub는 2024년 6월부터 작업을 시작하여 최소 618개의 조직을 침해했습니다. 접근 권한을 얻은 후, 위협 요소는 원격 모니터링 및 관리(RMM) 소프트웨어를 설치하고, 정보 도용자인 Stealc와 Rhadamanthys를 배포합니다. EncryptHub는 많은 경우에 랜섬웨어를 침해된 시스템에 배포하기도 합니다.
EncryptHub의 공격은 SMS 피싱, 음성 피싱, 그리고 Cisco AnyConnect, Palo Alto GlobalProtect, Fortinet, Microsoft 365 등의 기업 VPN 제품을 모방한 가짜 로그인 페이지를 포함합니다. 공격자들은 일반적으로 IT 지원을 가장하고, VPN 접근이나 계정의 보안 문제를 주장하며, 피싱 사이트에 로그인하도록 대상에게 메시지를 보냅니다. 피해자들은 피싱 로그인 페이지로 리디렉션되는 링크를 받아, 그들의 자격 증명과 다중 요소 인증(MFA) 토큰이 실시간으로 캡쳐됩니다.
요약
- 'EncryptHub'는 스피어 피싱과 소셜 엔지니어링 공격을 통해 전 세계 기업 네트워크에 접근하고 있다.
- EncryptHub는 접근 권한을 얻은 후, 원격 모니터링 및 관리(RMM) 소프트웨어를 설치하고, 정보 도용자를 배포한다.
- EncryptHub의 공격은 SMS 피싱, 음성 피싱, 그리고 기업 VPN 제품을 모방한 가짜 로그인 페이지를 포함한다.
- 공격자들은 일반적으로 IT 지원을 가장하고, VPN 접근이나 계정의 보안 문제를 주장하며, 피싱 사이트에 로그인하도록 대상에게 메시지를 보낸다.
- 피해자들은 피싱 로그인 페이지로 리디렉션되는 링크를 받아, 그들의 자격 증명과 다중 요소 인증(MFA) 토큰이 실시간으로 캡처된다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.