EncryptHub（Larva-208）攻击618家组织：鱼叉式钓鱼+信息窃取+勒索软件全链路解析

一个名为EncryptHub（又称Larva-208）的威胁组织，持续针对全球企业发起精密的社会工程攻击，主要通过鱼叉式网络钓鱼（spear-phishing）和短信/语音钓鱼，窃取企业网络访问权限。

What is phishing? | Phishing attack prevention | Cloudflare

根据瑞士网络安全公司Prodaft的报告，自2024年6月EncryptHub启动运营以来，已成功入侵至少618个组织。攻击者获取初始访问权限后，通常安装远程监控和管理（RMM）工具，随后部署信息窃取程序（如Stealc、Rhadamanthys），并在许多案例中进一步植入勒索软件。

EncryptHub与RansomHub和BlackSuit勒索软件团伙存在关联，过去曾部署过它们的加密器，可能充当初始访问代理（Initial Access Broker）或直接附属机构。不过，在大量攻击中，攻击者更倾向于使用自定义PowerShell加密器，显示出较强的自主开发能力。

1. 初始访问：高度仿真的钓鱼攻击

Larva-208的攻击链从多渠道社会工程开始，包括：

• 短信钓鱼（Smishing）和语音钓鱼（Vishing）；
• 伪造企业VPN和协作工具的登录页面，如Cisco AnyConnect、Palo Alto GlobalProtect、Fortinet以及Microsoft 365。

攻击者通常冒充IT支持人员，声称“VPN访问出现问题”或“账户存在安全风险”，诱导受害者点击链接登录假冒页面。受害者在假页面输入凭据和MFA令牌（会话Cookie）时，攻击者可实时捕获这些信息。钓鱼过程结束后，受害者会被悄无声息地重定向到真实服务域名，以降低怀疑。

Spoofed GlobalProtect Used to Deliver Unique WikiLoader Variant

假冒思科/全球保护登录页面示例（类似攻击中使用的仿冒界面）：

Public Knowledge Base - GlobalProtect Remote Access VPN: User is taken to the wrong sign-in screen.

EncryptHub已注册超过70个仿冒域名，例如 linkwebcisco.com、weblinkteams.com 等，以提升钓鱼页面的可信度。这些页面通常托管在Yalishanda等不太配合删除请求的可靠托管商上。

此外，Prodaft还发现了一个名为Larva-148的子组织，专门负责购买钓鱼域名、管理主机和搭建基础设施。两者可能存在域名和工具包的交易关系，但具体关联仍在分析中。

2. 恶意软件部署与持久化

一旦获得凭据并进入系统，EncryptHub会通过一系列PowerShell脚本实现持久化、远程控制、数据窃取和文件加密。

第一步：诱导受害者安装合法RMM软件，如AnyDesk、TeamViewer、ScreenConnect、Atera或Splashtop。这些工具让攻击者能够长期远程操控系统，并进行横向移动。

15 Best Remote Monitoring Tools - 2026

第二步：部署信息窃取程序（Infostealer），包括Stealc、Rhadamanthys以及变种窃取器，主要目标是浏览器保存的凭据、会话Cookie和加密货币钱包信息。

在Linux和macOS设备上，攻击者使用类似功能的Python脚本，窃取范围更广，包括：

• 多种加密货币钱包（MetaMask、以太坊、Coinbase、Trust Wallet、Opera、Brave、TronLink、Trezor等）；
• VPN客户端配置（Cisco、FortiClient、Palo Alto GlobalProtect、OpenVPN、WireGuard等）；
• 密码管理器数据（1Password、NordPass、DashLane、Bitwarden、KeePassXC、LastPass等）；
• 特定扩展名或包含关键词的文件（如“pass”、“account”、“wallet”、“seedphrase”、“2fa”、“secret”等），涵盖图片、RDP文件、Word/Excel/CSV、证书等。

信息窃取程序（Infostealer）典型行为示意：

3. 勒索阶段：自定义加密器

攻击的最终阶段往往是部署基于PowerShell的自定义加密器（locker.ps1）。该加密器使用AES算法加密文件，添加“.crypted”扩展名，并删除原始文件。

受害者随后会收到勒索信，要求通过Telegram以USDT（Tether）支付赎金。

Larva-208典型勒索信示例（类似攻击中使用的赎金通知）：

Investigate an incident's malicious script | Microsoft Learn

（注：实际勒索信通常包含简洁的支付指引和威胁语言，与上图中PowerShell相关分析界面类似的技术展示风格。）

总结与防护建议

Prodaft评估认为，EncryptHub是一个高度老练的威胁行为体，能够根据目标规模量身定制攻击计划，专注于高价值组织。其鱼叉式钓鱼结合高级混淆、定制诱饵和多阶段载荷，展现出极强的规避检测能力。

关键防护措施：

• 对VPN和MFA登录实施严格监控，警惕异常重定向；
• 限制RMM工具的随意安装，并监控其异常使用；
• 禁用不必要的PowerShell执行，启用应用白名单；
• 定期备份数据，并教育员工识别IT支持冒充的钓鱼短信/语音；
• 使用端点检测与响应（EDR）工具监控信息窃取和加密行为。