SharpRhino RAT
Hunters International Ransomware-gruppen har udviklet en ny C# Remote Access Trojan (RAT) ved navn SharpRhino til at målrette IT-arbejdere og infiltrere virksomhedsnetværk. Denne malware letter indledende infektion, privilegieeskalering på kompromitterede systemer, udførelse af PowerShell-kommandoer og i sidste ende implementeringen af ransomware.
Cybersikkerhedsforskere har identificeret, at malwaren spredes gennem et typosquatting-websted, der efterligner webstedet for Angry IP Scanner, et populært netværksværktøj, der bruges af it-professionelle.
Indholdsfortegnelse
Mulig rebrand af tidligere cyberkriminalitetsgruppe
The Hunters International , en ransomware-operation, der blev lanceret i slutningen af 2023, er mistænkt for at være et rebrand af Hive på grund af ligheder i deres kode. Blandt dets bemærkelsesværdige ofre er Austal USA, en amerikansk flådekontraktør, den japanske optikgigant Hoya, Integris Health og Fred Hutch Cancer Center, der fremhæver gruppens tilsidesættelse af etiske grænser.
I 2024 tog gruppen ansvaret for 134 ransomware-angreb på organisationer verden over (eksklusive dem i CIS-regionen), hvilket gør den til den tiende mest aktive ransomware-gruppe i år.
Hvordan fungerer SharpRhino RAT?
SharpRhino distribueres som et digitalt signeret 32-bit installationsprogram ('ipscan-3.9.1-setup.exe'), der inkluderer et selvudpakkende, adgangskodebeskyttet 7z-arkiv, der indeholder yderligere filer, der er nødvendige for infektionsprocessen. Efter installationen ændrer softwaren Windows-registreringsdatabasen for persistens og opretter en genvej til Microsoft.AnyKey.exe, en Microsoft Visual Studio binær, der misbruges i denne sammenhæng.
Installationsprogrammet dropper også 'LogUpdate.bat', som kører PowerShell-scripts på enheden for at kompilere C#-kode i hukommelsen, hvilket muliggør snigende udførelse af malware. For redundans opretter installationsprogrammet to mapper: 'C:\ProgramData\Microsoft: WindowsUpdater24' og 'LogUpdateWindows', som begge bruges til kommando og kontrol (C2) kommunikation.
Malwaren har to hårdkodede kommandoer: 'delay', som indstiller timeren for den næste POST-anmodning for at hente en kommando, og 'exit', som afslutter kommunikationen. Analyse afslører, at malwaren kan udføre PowerShell-kommandoer på værten, så den kan udføre forskellige skadelige handlinger.
Cyberkriminelle bruger falske websteder, der efterligner legitime værktøjer
Hunters International har vedtaget en ny strategi med at bruge websteder, der efterligner legitime open source-netværksscanningsværktøjer til at målrette IT-professionelle, med det formål at bryde konti med forhøjede privilegier.
Brugere bør være forsigtige med sponsorerede søgeresultater for at undgå malvertising, bruge annonceblokkere for at forhindre disse resultater i at blive vist, og bogmærke officielle projektwebsteder, der er kendt for at levere sikre installatører. For at svække virkningen af ransomware-angreb skal du implementere en robust backupplan, øve netværkssegmentering og holde al software opdateret for at minimere mulighederne for eskalering af privilegier og sideværts bevægelse.
