SharpRhino RAT

হান্টার্স ইন্টারন্যাশনাল র‍্যানসমওয়্যার গ্রুপ আইটি কর্মীদের টার্গেট করতে এবং কর্পোরেট নেটওয়ার্কে অনুপ্রবেশ করতে SharpRhino নামে একটি নতুন C# রিমোট অ্যাক্সেস ট্রোজান (RAT) তৈরি করেছে। এই ম্যালওয়্যারটি প্রাথমিক সংক্রমণ, আপোসকৃত সিস্টেমে বিশেষাধিকার বৃদ্ধি, পাওয়ারশেল কমান্ডগুলি সম্পাদন এবং শেষ পর্যন্ত র্যানসমওয়্যার স্থাপনের সুবিধা দেয়।

সাইবারসিকিউরিটি গবেষকরা চিহ্নিত করেছেন যে ম্যালওয়্যারটি একটি টাইপোসক্যাটিং সাইটের মাধ্যমে ছড়িয়ে পড়ছে যা আইটি পেশাদারদের দ্বারা ব্যবহৃত একটি জনপ্রিয় নেটওয়ার্কিং টুল অ্যাংরি আইপি স্ক্যানার ওয়েবসাইটকে অনুকরণ করে৷

পূর্ববর্তী সাইবার ক্রাইম গ্রুপের সম্ভাব্য রিব্র্যান্ড

হান্টার্স ইন্টারন্যাশনাল , 2023 সালের শেষের দিকে চালু করা একটি র‍্যানসমওয়্যার অপারেশন, তাদের কোডে মিল থাকার কারণে হাইভের পুনর্ব্র্যান্ড বলে সন্দেহ করা হচ্ছে। এর উল্লেখযোগ্য শিকারদের মধ্যে রয়েছে অস্টাল ইউএসএ, একটি মার্কিন নৌবাহিনীর ঠিকাদার, জাপানি অপটিক্স জায়ান্ট হোয়া, ইন্টিগ্রিস হেলথ এবং ফ্রেড হাচ ক্যান্সার সেন্টার, নৈতিক সীমার প্রতি গ্রুপের অবহেলাকে তুলে ধরে।

2024 সালে, গোষ্ঠীটি বিশ্বব্যাপী সংস্থাগুলির উপর 134টি র‍্যানসমওয়্যার আক্রমণের দায় স্বীকার করেছে (সিআইএস অঞ্চলের ব্যতীত), এটি এই বছর দশম সর্বাধিক সক্রিয় র্যানসমওয়্যার গ্রুপে পরিণত হয়েছে।

SharpRhino RAT কিভাবে কাজ করে?

SharpRhino একটি ডিজিটাল স্বাক্ষরিত 32-বিট ইনস্টলার ('ipscan-3.9.1-setup.exe') হিসাবে বিতরণ করা হয়েছে যাতে সংক্রমণ প্রক্রিয়ার জন্য প্রয়োজনীয় অতিরিক্ত ফাইলগুলি সহ একটি স্ব-নিষ্কাশন, পাসওয়ার্ড-সুরক্ষিত 7z সংরক্ষণাগার অন্তর্ভুক্ত রয়েছে। ইনস্টলেশনের পরে, সফ্টওয়্যারটি অধ্যবসায়ের জন্য উইন্ডোজ রেজিস্ট্রি পরিবর্তন করে এবং Microsoft.AnyKey.exe-এর একটি শর্টকাট তৈরি করে, একটি মাইক্রোসফ্ট ভিজ্যুয়াল স্টুডিও বাইনারি যা এই প্রসঙ্গে অপব্যবহার করা হয়।

ইনস্টলারটি 'LogUpdate.bat'ও ড্রপ করে, যা মেমরিতে C# কোড কম্পাইল করতে ডিভাইসে পাওয়ারশেল স্ক্রিপ্ট চালায়, যা স্টিলথি ম্যালওয়্যার এক্সিকিউশন সক্ষম করে। অপ্রয়োজনীয়তার জন্য, ইনস্টলার দুটি ডিরেক্টরি তৈরি করে: 'C:\ProgramData\Microsoft: WindowsUpdater24' এবং 'LogUpdateWindows,' উভয়ই কমান্ড এবং নিয়ন্ত্রণ (C2) যোগাযোগের জন্য ব্যবহার করা হয়।

ম্যালওয়্যারের দুটি হার্ডকোড কমান্ড রয়েছে: 'বিলম্ব', যা একটি কমান্ড পুনরুদ্ধার করার জন্য পরবর্তী POST অনুরোধের জন্য টাইমার সেট করে এবং 'প্রস্থান,' যা এর যোগাযোগ বন্ধ করে দেয়। বিশ্লেষণ প্রকাশ করে যে ম্যালওয়্যার হোস্টে পাওয়ারশেল কমান্ডগুলি কার্যকর করতে পারে, এটি বিভিন্ন ক্ষতিকারক ক্রিয়া সম্পাদন করতে দেয়।

সাইবার অপরাধীরা বৈধ সরঞ্জামের অনুকরণ করে জাল সাইট ব্যবহার করে

দ্য হান্টার্স ইন্টারন্যাশনাল এমন ওয়েবসাইটগুলি ব্যবহার করার একটি নতুন কৌশল গ্রহণ করেছে যা আইটি পেশাদারদের লক্ষ্য করার জন্য বৈধ ওপেন-সোর্স নেটওয়ার্ক স্ক্যানিং সরঞ্জামগুলি অনুকরণ করে, উচ্চতর বিশেষাধিকার সহ অ্যাকাউন্টগুলি লঙ্ঘনের লক্ষ্যে।

ম্যালভার্টাইজিং এড়াতে ব্যবহারকারীদের স্পনসর করা অনুসন্ধান ফলাফল সম্পর্কে সতর্ক হওয়া উচিত, এই ফলাফলগুলিকে উপস্থিত হওয়া থেকে বিরত রাখতে বিজ্ঞাপন ব্লকার ব্যবহার করা এবং নিরাপদ ইনস্টলার প্রদানের জন্য পরিচিত অফিসিয়াল প্রকল্প সাইটগুলি বুকমার্ক করা উচিত। র‍্যানসমওয়্যার আক্রমণের প্রভাবকে দুর্বল করতে, একটি শক্তিশালী ব্যাকআপ পরিকল্পনা বাস্তবায়ন করুন, নেটওয়ার্ক বিভাজন অনুশীলন করুন এবং বিশেষাধিকার বৃদ্ধি এবং পার্শ্বীয় আন্দোলনের সুযোগগুলি হ্রাস করতে সমস্ত সফ্টওয়্যার আপ টু ডেট রাখুন।