一个名为EncryptHub又称Larva-208的威胁组织持续针对全球企业发起精密的社会工程攻击主要通过鱼叉式网络钓鱼spear-phishing和短信/语音钓鱼窃取企业网络访问权限。What is phishing? | Phishing attack prevention | Cloudflare根据瑞士网络安全公司Prodaft的报告自2024年6月EncryptHub启动运营以来已成功入侵至少618个组织。攻击者获取初始访问权限后通常安装远程监控和管理RMM工具随后部署信息窃取程序如Stealc、Rhadamanthys并在许多案例中进一步植入勒索软件。EncryptHub与RansomHub和BlackSuit勒索软件团伙存在关联过去曾部署过它们的加密器可能充当初始访问代理Initial Access Broker或直接附属机构。不过在大量攻击中攻击者更倾向于使用自定义PowerShell加密器显示出较强的自主开发能力。1. 初始访问高度仿真的钓鱼攻击Larva-208的攻击链从多渠道社会工程开始包括短信钓鱼Smishing和语音钓鱼Vishing伪造企业VPN和协作工具的登录页面如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet以及Microsoft 365。攻击者通常冒充IT支持人员声称“VPN访问出现问题”或“账户存在安全风险”诱导受害者点击链接登录假冒页面。受害者在假页面输入凭据和MFA令牌会话Cookie时攻击者可实时捕获这些信息。钓鱼过程结束后受害者会被悄无声息地重定向到真实服务域名以降低怀疑。Spoofed GlobalProtect Used to Deliver Unique WikiLoader Variant假冒思科/全球保护登录页面示例类似攻击中使用的仿冒界面Public Knowledge Base - GlobalProtect Remote Access VPN: User is taken to the wrong sign-in screen.EncryptHub已注册超过70个仿冒域名例如 linkwebcisco.com、weblinkteams.com 等以提升钓鱼页面的可信度。这些页面通常托管在Yalishanda等不太配合删除请求的可靠托管商上。此外Prodaft还发现了一个名为Larva-148的子组织专门负责购买钓鱼域名、管理主机和搭建基础设施。两者可能存在域名和工具包的交易关系但具体关联仍在分析中。2. 恶意软件部署与持久化一旦获得凭据并进入系统EncryptHub会通过一系列PowerShell脚本实现持久化、远程控制、数据窃取和文件加密。第一步诱导受害者安装合法RMM软件如AnyDesk、TeamViewer、ScreenConnect、Atera或Splashtop。这些工具让攻击者能够长期远程操控系统并进行横向移动。15 Best Remote Monitoring Tools - 2026第二步部署信息窃取程序Infostealer包括Stealc、Rhadamanthys以及变种窃取器主要目标是浏览器保存的凭据、会话Cookie和加密货币钱包信息。在Linux和macOS设备上攻击者使用类似功能的Python脚本窃取范围更广包括多种加密货币钱包MetaMask、以太坊、Coinbase、Trust Wallet、Opera、Brave、TronLink、Trezor等VPN客户端配置Cisco、FortiClient、Palo Alto GlobalProtect、OpenVPN、WireGuard等密码管理器数据1Password、NordPass、DashLane、Bitwarden、KeePassXC、LastPass等特定扩展名或包含关键词的文件如“pass”、“account”、“wallet”、“seedphrase”、“2fa”、“secret”等涵盖图片、RDP文件、Word/Excel/CSV、证书等。信息窃取程序Infostealer典型行为示意3. 勒索阶段自定义加密器攻击的最终阶段往往是部署基于PowerShell的自定义加密器locker.ps1。该加密器使用AES算法加密文件添加“.crypted”扩展名并删除原始文件。受害者随后会收到勒索信要求通过Telegram以USDTTether支付赎金。Larva-208典型勒索信示例类似攻击中使用的赎金通知Investigate an incidents malicious script | Microsoft Learn注实际勒索信通常包含简洁的支付指引和威胁语言与上图中PowerShell相关分析界面类似的技术展示风格。总结与防护建议Prodaft评估认为EncryptHub是一个高度老练的威胁行为体能够根据目标规模量身定制攻击计划专注于高价值组织。其鱼叉式钓鱼结合高级混淆、定制诱饵和多阶段载荷展现出极强的规避检测能力。关键防护措施对VPN和MFA登录实施严格监控警惕异常重定向限制RMM工具的随意安装并监控其异常使用禁用不必要的PowerShell执行启用应用白名单定期备份数据并教育员工识别IT支持冒充的钓鱼短信/语音使用端点检测与响应EDR工具监控信息窃取和加密行为。