SharpRhino RAT
Групата Hunters International Ransomware разработи нов C# троянски кон за отдалечен достъп (RAT), наречен SharpRhino, за насочване към ИТ работници и проникване в корпоративни мрежи. Този зловреден софтуер улеснява първоначалното заразяване, ескалацията на привилегии на компрометирани системи, изпълнението на команди на PowerShell и в крайна сметка внедряването на ransomware.
Изследователите на киберсигурността са установили, че злонамереният софтуер се разпространява чрез сайт за typosquatting, който имитира уебсайта на Angry IP Scanner, популярен мрежов инструмент, използван от ИТ специалисти.
Съдържание
Възможно ребрандиране на предишна група за киберпрестъпления
The Hunters International , операция за рансъмуер, стартирана в края на 2023 г., се подозира, че е ребранд на Hive поради прилики в техния код. Сред забележителните му жертви са Austal USA, изпълнител на военноморските сили на САЩ, японският оптичен гигант Hoya, Integris Health и Fred Hutch Cancer Center, което подчертава незачитането на етичните граници от страна на групата.
През 2024 г. групата пое отговорност за 134 атаки на рансъмуер срещу организации по целия свят (с изключение на тези в региона на ОНД), което я прави десетата най-активна група за рансъмуер тази година.
Как работи SharpRhino RAT?
SharpRhino се разпространява като цифрово подписан 32-битов инсталатор ('ipscan-3.9.1-setup.exe'), който включва саморазархивиращ се, защитен с парола 7z архив, съдържащ допълнителни файлове, необходими за процеса на заразяване. При инсталиране софтуерът променя системния регистър на Windows за постоянство и създава пряк път към Microsoft.AnyKey.exe, двоичен файл на Microsoft Visual Studio, който се използва неправилно в този контекст.
Инсталаторът също премахва „LogUpdate.bat“, който изпълнява PowerShell скриптове на устройството, за да компилира C# код в паметта, позволявайки скрито изпълнение на зловреден софтуер. За излишък инсталаторът създава две директории: „C:\ProgramData\Microsoft: WindowsUpdater24“ и „LogUpdateWindows“, като и двете се използват за командна и контролна (C2) комуникация.
Злонамереният софтуер има две твърдо кодирани команди: „закъснение“, което настройва таймера за следващото POST искане за извличане на команда, и „изход“, което прекратява комуникацията му. Анализът разкрива, че злонамереният софтуер може да изпълнява команди на PowerShell на хоста, което му позволява да извършва различни вредни действия.
Киберпрестъпниците използват фалшиви сайтове, имитиращи легитимни инструменти
Hunters International прие нова стратегия за използване на уебсайтове, които имитират легитимни инструменти за мрежово сканиране с отворен код, за да се насочат към ИТ специалисти, с цел да пробият акаунти с повишени привилегии.
Потребителите трябва да внимават със спонсорираните резултати от търсенето, за да избегнат злонамерена реклама, да използват рекламни блокери, за да предотвратят показването на тези резултати, и да поставят отметки на официални сайтове на проекти, известни с предоставянето на безопасни инсталатори. За да отслабите въздействието на атаките на ransomware, внедрете стабилен резервен план, практикувайте сегментиране на мрежата и поддържайте целия софтуер актуален, за да сведете до минимум възможностите за ескалация на привилегии и странично движение.
