شارب وحيد القرن الفئران
قامت مجموعة Hunters International Ransomware بتطوير فيروس C# Remote Access Trojan (RAT) الجديد المسمى SharpRhino لاستهداف العاملين في مجال تكنولوجيا المعلومات والتسلل إلى شبكات الشركات. تعمل هذه البرامج الضارة على تسهيل الإصابة الأولية وتصعيد الامتيازات على الأنظمة المخترقة وتنفيذ أوامر PowerShell ونشر برامج الفدية في نهاية المطاف.
حدد باحثو الأمن السيبراني أن البرامج الضارة تنتشر من خلال موقع مطبعي يحاكي موقع الويب الخاص بـ Angry IP Scanner، وهي أداة شبكات شائعة يستخدمها متخصصو تكنولوجيا المعلومات.
جدول المحتويات
احتمال إعادة تسمية مجموعة الجرائم الإلكترونية السابقة
يُشتبه في أن عملية Hunters International ، وهي عملية برامج فدية تم إطلاقها في أواخر عام 2023، هي عبارة عن علامة تجارية جديدة لـ Hive بسبب أوجه التشابه في التعليمات البرمجية الخاصة بها. ومن بين ضحاياها البارزين شركة أوستال يو إس إيه، وهي شركة متعاقدة مع البحرية الأمريكية، وعملاق البصريات الياباني هويا، وإنتيجريس هيلث، ومركز فريد هاتش للسرطان، مما يسلط الضوء على تجاهل المجموعة للحدود الأخلاقية.
وفي عام 2024، أعلنت المجموعة مسؤوليتها عن 134 هجومًا ببرامج الفدية على مؤسسات في جميع أنحاء العالم (باستثناء تلك الموجودة في منطقة رابطة الدول المستقلة)، مما يجعلها عاشر أكثر مجموعات برامج الفدية نشاطًا هذا العام.
كيف يعمل SharpRhino RAT؟
يتم توزيع SharpRhino كمثبت 32 بت موقّع رقميًا ('ipscan-3.9.1-setup.exe') يتضمن أرشيف 7z مستخرج ذاتيًا ومحمي بكلمة مرور ويحتوي على ملفات إضافية ضرورية لعملية الإصابة. عند التثبيت، يقوم البرنامج بتغيير سجل Windows للاستمرارية وإنشاء اختصار لـ Microsoft.AnyKey.exe، وهو برنامج ثنائي لـ Microsoft Visual Studio يتم إساءة استخدامه في هذا السياق.
يقوم برنامج التثبيت أيضًا بإسقاط "LogUpdate.bat"، الذي يقوم بتشغيل البرامج النصية PowerShell على الجهاز لتجميع كود C# في الذاكرة، مما يتيح تنفيذ البرامج الضارة بشكل خفي. من أجل التكرار، يقوم المثبت بإنشاء دليلين: 'C:\ProgramData\Microsoft: WindowsUpdater24' و'LogUpdateWindows'، وكلاهما يستخدم لاتصالات الأوامر والتحكم (C2).
تحتوي البرامج الضارة على أمرين مضمنين: "التأخير"، الذي يضبط المؤقت لطلب POST التالي لاسترداد أمر، و"الخروج"، الذي ينهي الاتصال. يكشف التحليل أن البرامج الضارة يمكنها تنفيذ أوامر PowerShell على المضيف، مما يسمح لها بتنفيذ العديد من الإجراءات الضارة.
يستخدم مجرمو الإنترنت مواقع مزيفة تقلد أدوات مشروعة
تبنت منظمة Hunters International استراتيجية جديدة تتمثل في استخدام مواقع الويب التي تحاكي أدوات فحص الشبكة المشروعة مفتوحة المصدر لاستهداف متخصصي تكنولوجيا المعلومات، بهدف اختراق الحسابات ذات الامتيازات العالية.
يجب على المستخدمين توخي الحذر بشأن نتائج البحث المدعومة لتجنب الإعلانات الضارة، واستخدام أدوات حظر الإعلانات لمنع ظهور هذه النتائج، ووضع إشارة مرجعية على مواقع المشاريع الرسمية المعروفة بتوفير أدوات التثبيت الآمنة. لإضعاف تأثير هجمات برامج الفدية، قم بتنفيذ خطة نسخ احتياطي قوية، وممارسة تجزئة الشبكة، والحفاظ على تحديث جميع البرامج لتقليل فرص تصعيد الامتيازات والحركة الجانبية.
