Last Updated on 2025-03-07 19:17 by admin
サイバー脅威グループ「EncryptHub」は、偽装アプリケーション、Pay-Per-Install(PPI)サービス、高度なフィッシング手法を組み合わせた攻撃を展開している。
The Hacker Newsが2025年3月6日に報じたところによると、2024年6月末から活動を開始したとされるこのグループは、SMSや音声を使ったフィッシング、偽のアプリケーション配布などの手法で標的に侵入し、情報窃取マルウェアやランサムウェアを展開している。
特に注目すべき点は、QQ Talk、WeChat、Google Meet、Microsoft Visual Studio 2022などの人気アプリケーションの偽バージョンを配布していること、そして2025年1月2日以降はLabInstallsという第三者のPPIサービスを利用して効率的にマルウェアを拡散していることだ。また、EncryptHubはRansomHubやBlacksuitといった既知のランサムウェアグループと提携関係にあり、「EncryptRAT」という新たなC2(コマンド・アンド・コントロール)パネルの開発も進めている。
セキュリティ専門家は、このグループの戦術が進化し続けていることから、組織は継続的な監視と多層的なセキュリティ対策の採用が必要だと指摘している。
from:EncryptHub Deploys Ransomware and Stealer via Trojanized Apps, PPI Services, and Phishing
【編集部解説】
EncryptHubの活動は、現代のサイバー攻撃の複雑化と組織化を明確に示しています。従来のフィッシングに加え、SMSや音声を使った「スミッシング」や「ビッシング」、そして正規アプリケーションを模した偽アプリの配布など、様々な侵入経路を確保しています。
興味深いのは、彼らがサイバー犯罪のエコシステムを駆使している点です。LabInstallsというPPIサービスの利用は、マルウェア配布の「アウトソーシング」とも言え、効率的に被害を拡大させる戦略です。これは「Crime-as-a-Service(犯罪のサービス化)」の一例と言えるでしょう。
また、EncryptRATの開発は、彼らが単なる攻撃グループから「サイバー犯罪ベンダー」へと進化しようとしている可能性を示唆しています。このツールが商業化されれば、技術的知識の乏しい犯罪者でも高度な攻撃を実行できるようになり、サイバー脅威の拡大につながる可能性があります。
企業や組織は、このような多面的な脅威に対して、単一のセキュリティソリューションではなく、従業員教育、多要素認証、エンドポイント保護、ネットワーク監視など、複数の防御層を組み合わせた包括的なアプローチが重要です。
【用語解説】
Pay-Per-Install(PPI)サービス:
マルウェアの配布を代行するサービスで、インストール数に応じて料金が設定されています。EncryptHubが利用していたLabInstallsでは、100回のインストールで10ドル、10,000回のインストールで450ドルという料金体系でした。
マルウェア:
ユーザーの許可なくデータを盗んだり、システムを破壊したりコンピュータやデバイスに意図的に害を与えるよう設計された悪意のあるソフトウェアのこと。
ランサムウェア:
ユーザーのデータやシステムを暗号化して使用不能にし、その解除と引き換えに身代金(ランサム)を要求する悪意のあるソフトウェアのこと。被害者が支払いを行うまで、重要なファイルやシステムへのアクセスを制限する。