SharpRhino RAT
Skupina Hunters International Ransomware vyvinula nový trojan C# Remote Access Trojan (RAT) s názvem SharpRhino, který se zaměřuje na pracovníky IT a infiltruje podnikové sítě. Tento malware usnadňuje počáteční infekci, eskalaci oprávnění na kompromitovaných systémech, provádění příkazů PowerShell a nakonec nasazení ransomwaru.
Výzkumníci v oblasti kybernetické bezpečnosti zjistili, že malware se šíří prostřednictvím překlepové stránky, která napodobuje webovou stránku Angry IP Scanner, populárního síťového nástroje používaného IT profesionály.
Obsah
Možná změna značky předchozí skupiny pro počítačovou kriminalitu
The Hunters International , operace ransomwaru spuštěná koncem roku 2023, je podezřelá z rebrandingu Hive kvůli podobnostem v jejich kódu. Mezi jeho pozoruhodné oběti patří Austal USA, dodavatel amerického námořnictva, japonský optický gigant Hoya, Integris Health a Fred Hutch Cancer Center, což zdůrazňuje, že skupina ignoruje etické hranice.
V roce 2024 se skupina přihlásila k odpovědnosti za 134 ransomwarových útoků na organizace po celém světě (kromě těch v regionu SNS), čímž se letos stala desátou nejaktivnější ransomwarovou skupinou.
Jak SharpRhino RAT funguje?
SharpRhino je distribuován jako digitálně podepsaný 32bitový instalační program ('ipscan-3.9.1-setup.exe'), který obsahuje samorozbalovací, heslem chráněný 7z archiv obsahující další soubory nezbytné pro proces infekce. Po instalaci software upraví registr Windows pro zachování a vytvoří zástupce Microsoft.AnyKey.exe, binární soubor Microsoft Visual Studio, který je v této souvislosti zneužit.
Instalační program také zahodí 'LogUpdate.bat', který na zařízení spouští skripty PowerShellu pro kompilaci kódu C# do paměti, což umožňuje tajné spouštění malwaru. Z důvodu redundance vytvoří instalační program dva adresáře: 'C:\ProgramData\Microsoft: WindowsUpdater24' a 'LogUpdateWindows', které se oba používají pro komunikaci příkazů a řízení (C2).
Malware má dva pevně zakódované příkazy: 'delay', který nastavuje časovač pro další požadavek POST na získání příkazu, a 'exit', který ukončuje jeho komunikaci. Analýza ukazuje, že malware může spouštět příkazy PowerShellu na hostiteli, což mu umožňuje provádět různé škodlivé akce.
Kyberzločinci používají falešné stránky napodobující legitimní nástroje
The Hunters International přijala novou strategii používání webových stránek, které napodobují legitimní nástroje pro skenování sítí s otevřeným zdrojovým kódem, zaměřující se na IT profesionály s cílem prolomit účty se zvýšenými oprávněními.
Uživatelé by si měli dávat pozor na sponzorované výsledky vyhledávání, aby se vyhnuli malové reklamě, používat blokátory reklam, aby se tyto výsledky nezobrazovaly, a přidat si do záložek oficiální stránky projektů, které jsou známé tím, že poskytují bezpečné instalační programy. Chcete-li oslabit dopad ransomwarových útoků, implementujte robustní plán zálohování, procvičte si segmentaci sítě a udržujte veškerý software aktuální, abyste minimalizovali příležitosti pro eskalaci oprávnění a laterální pohyb.
