EncryptHubは、618の組織の侵害に関連する悪名高い脅威行為者であり、2つのWindowsのゼロデイ脆弱性をMicrosoftに報告したと考えられており、サイバー犯罪とセキュリティ研究の境界線をまたぐ葛藤の姿が明らかになった。
報告された脆弱性は、CVE-2025-24061(Mark of the Web bypass)とCVE-2025-24071(File Explorer spoofing)で、マイクロソフトは2025年3月のパッチ・チューズデー・アップデートで対処し、報告者を「SkorikARI with SkorikARI .」と認めている。
出典マイクロソフト
Outpost24の研究者による新たなレポートでは、脅威行為者が自分自身を感染させ、認証情報を暴露したとされる後、EncryptHubの脅威行為者とSkorikARIがリンクされました。
この暴露により、研究者は脅威行為者をさまざまなオンライン・アカウントにリンクさせ、サイバーセキュリティ研究者とサイバー犯罪者の間を行き来する人物のプロフィールを暴露することができた。
暴露されたアカウントの1つはSkorikARIで、このハッカーは、言及された2つのゼロデイ脆弱性をマイクロソフトに開示するために使用し、ウィンドウズのセキュリティに貢献した。
Outpost24のセキュリティ・アナリスト、ヘクター・ガルシア氏は、SkorikARIとEncryptHubの関連性は複数の証拠に基づいており、信頼性の高い評価であると語った。
“最も困難な証拠は、EncrypHubが彼自身のシステムから流出させたパスワードファイルには、まだ開発中であったEncryptRATへの認証情報やxss.is上の彼のアカウントのように、EncryptHubとSkorikARIの両方にリンクされたアカウントがあったという事実です。
“また、7月のFortinetのFickle Stealerに関する記事で言及されたhxxps:// github[.]com/SkorikJRへのログインもあり、すべてをまとめていた。”
“EncryptHubとSkorikARIの両方に関連する活動が観察されるChatGPTとの会話も、この2つの関連を裏付ける大きな証拠となった。”
EncryptHubのゼロデイへの進出は今に始まったことではなく、脅威行為者またはメンバーの1人は、ハッキングフォーラムで他のサイバー犯罪者にゼロデイを販売しようとしていました。
Source :
Outpost24は、EncryptHubの歩みを掘り下げ、このハッカーはフリーランスの開発業務とサイバー犯罪活動の間を繰り返し行き来していると述べています。
このハッカーは、ITの専門家であるにもかかわらず、個人情報の流出を許すような悪質なセキュリティ対策の犠牲になっていると報告されている。
これには、ハッカーがマルウェアやフィッシングサイトの開発、サードパーティのコードの統合、脆弱性の調査にChatGPTを使用していたことが含まれます。
この脅威者はOpenAIのLLMチャットボットとも個人的に深く関わっており、あるケースでは自分の業績を説明し、AIにクールなハッカーや悪意のある研究者に分類するよう求めていました。
提供された入力に基づき、ChatGPTは彼を40%ブラックハット、30%グレーハット、20%ホワイトハット、10%不確実と評価し、道徳的、実践的に葛藤する個人を反映しました。
同じ葛藤はChatGPT上の彼の将来の計画に反映されており、ハッカーは宣伝のために数万台のコンピュータに影響を与える大規模だが「無害」なキャンペーンを組織するためにチャットボットの助けを求めている。
ソースはこちら:Outlook24
EncryptHubとは
EncryptHubは、RansomHubやBlackSuitのようなランサムウェア・ギャングと緩やかに関連していると考えられている脅威アクターです。
しかし、最近では、さまざまなソーシャルエンジニアリングキャンペーンやフィッシング攻撃、Fickle StealerというPowerShellベースのカスタム情報窃取ツールを作成することで、その名を轟かせています。
この脅威者は、架空のアプリケーションのためにソーシャルメディアプロファイルやウェブサイトを作成するソーシャルエンジニアリングキャンペーンを実施することでも知られています。
その一例として、GartoriSpaceと呼ばれるプロジェクト管理アプリケーションのXアカウントとWebサイトを作成していることがわかりました。
ソースは こちら:
このサイトは、ソフトウェアをダウンロードするために必要なコードを提供するソーシャルメディアプラットフォーム上のプライベートメッセージを通じて宣伝されました。ソフトウェアをダウンロードすると、WindowsデバイスにはFickle StealerをインストールするPPKGファイル[VirusTotal]が、MacデバイスにはAMOS情報ステーラー[VirusTotal]がインストールされます。
EncryptHubはまた、CVE-2025-26633として追跡されているMicrosoft Management Consoleの脆弱性を悪用したWindowsのゼロデイ攻撃にも関連している。この欠陥は3月に修正されましたが、脅威行為者ではなく、トレンドマイクロ社に起因するものでした。
Prodaftのレポートによると、脅威行為者は600以上の組織を侵害したという。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
攻撃の93%を支えるMITRE ATT&CK©テクニック・トップ10
1,400万件の悪意のあるアクションの分析に基づき、攻撃の93%を支えるMITRE ATT&CKテクニックのトップ10とその防御方法をご覧ください。
Comments