SharpRhino RAT
Η ομάδα Hunters International Ransomware έχει αναπτύξει ένα νέο C# Remote Access Trojan (RAT) που ονομάζεται SharpRhino για να στοχεύει εργαζόμενους στον τομέα της πληροφορικής και να διεισδύει σε εταιρικά δίκτυα. Αυτό το κακόβουλο λογισμικό διευκολύνει την αρχική μόλυνση, την κλιμάκωση των προνομίων σε παραβιασμένα συστήματα, την εκτέλεση εντολών PowerShell και τελικά την ανάπτυξη ransomware.
Οι ερευνητές στον τομέα της κυβερνοασφάλειας έχουν εντοπίσει ότι το κακόβουλο λογισμικό εξαπλώνεται μέσω ενός ιστότοπου τυπογραφικής καταγραφής που μιμείται τον ιστότοπο του Angry IP Scanner, ενός δημοφιλούς εργαλείου δικτύωσης που χρησιμοποιείται από επαγγελματίες πληροφορικής.
Πίνακας περιεχομένων
Πιθανή αλλαγή επωνυμίας της προηγούμενης ομάδας για το έγκλημα στον κυβερνοχώρο
Το Hunters International , μια επιχείρηση ransomware που ξεκίνησε στα τέλη του 2023, θεωρείται ύποπτο ότι είναι ένα rebrand του Hive λόγω ομοιοτήτων στον κώδικά τους. Μεταξύ των αξιοσημείωτων θυμάτων του είναι η Austal USA, εργολάβος του αμερικανικού ναυτικού, ο ιαπωνικός γίγαντας οπτικών Hoya, η Integris Health και το Κέντρο Καρκίνου Φρεντ Χατς, υπογραμμίζοντας την περιφρόνηση της ομάδας για τα ηθικά όρια.
Το 2024, η ομάδα ανέλαβε την ευθύνη για 134 επιθέσεις ransomware σε οργανισμούς παγκοσμίως (εξαιρουμένων εκείνων στην περιοχή της ΚΑΚ), καθιστώντας την τη δέκατη πιο ενεργή ομάδα ransomware φέτος.
Πώς λειτουργεί το SharpRhino RAT;
Το SharpRhino διανέμεται ως ψηφιακά υπογεγραμμένο πρόγραμμα εγκατάστασης 32 bit ('ipscan-3.9.1-setup.exe') που περιλαμβάνει ένα αυτοεξαγόμενο, προστατευμένο με κωδικό πρόσβασης αρχείο 7z που περιέχει πρόσθετα αρχεία απαραίτητα για τη διαδικασία μόλυνσης. Κατά την εγκατάσταση, το λογισμικό αλλάζει το μητρώο των Windows για επιμονή και δημιουργεί μια συντόμευση στο Microsoft.AnyKey.exe, ένα δυαδικό αρχείο του Microsoft Visual Studio που χρησιμοποιείται κατάχρηση σε αυτό το πλαίσιο.
Το πρόγραμμα εγκατάστασης ρίχνει επίσης το "LogUpdate.bat", το οποίο εκτελεί σενάρια PowerShell στη συσκευή για να μεταγλωττίσει τον κώδικα C# στη μνήμη, επιτρέποντας την εκτέλεση κρυφού κακόβουλου λογισμικού. Για πλεονασμό, το πρόγραμμα εγκατάστασης δημιουργεί δύο καταλόγους: 'C:\ProgramData\Microsoft: WindowsUpdater24' και 'LogUpdateWindows', οι οποίοι χρησιμοποιούνται και οι δύο για επικοινωνία εντολών και ελέγχου (C2).
Το κακόβουλο λογισμικό έχει δύο εντολές με σκληρό κώδικα: «καθυστέρηση», που ρυθμίζει το χρονόμετρο για το επόμενο αίτημα POST για ανάκτηση μιας εντολής και «έξοδος», που τερματίζει την επικοινωνία του. Η ανάλυση αποκαλύπτει ότι το κακόβουλο λογισμικό μπορεί να εκτελέσει εντολές PowerShell στον κεντρικό υπολογιστή, επιτρέποντάς του να εκτελεί διάφορες επιβλαβείς ενέργειες.
Οι εγκληματίες του κυβερνοχώρου χρησιμοποιούν ψεύτικους ιστότοπους μιμούμενοι τα νόμιμα εργαλεία
Η Hunters International έχει υιοθετήσει μια νέα στρατηγική χρήσης ιστοτόπων που μιμούνται τα νόμιμα εργαλεία σάρωσης δικτύου ανοιχτού κώδικα για να στοχεύουν επαγγελματίες πληροφορικής, με στόχο την παραβίαση λογαριασμών με αυξημένα προνόμια.
Οι χρήστες θα πρέπει να είναι προσεκτικοί με τα αποτελέσματα αναζήτησης που χορηγούνται για να αποφύγουν την κακή διαφήμιση, να χρησιμοποιούν προγράμματα αποκλεισμού διαφημίσεων για να αποτρέψουν την εμφάνιση αυτών των αποτελεσμάτων και να προσθέτουν σελιδοδείκτες επίσημους ιστότοπους έργων που είναι γνωστοί για την παροχή ασφαλών προγραμμάτων εγκατάστασης. Για να αποδυναμώσετε τον αντίκτυπο των επιθέσεων ransomware, εφαρμόστε ένα ισχυρό σχέδιο δημιουργίας αντιγράφων ασφαλείας, εξασκηθείτε στην τμηματοποίηση δικτύου και διατηρήστε όλο το λογισμικό ενημερωμένο για να ελαχιστοποιήσετε τις ευκαιρίες για κλιμάκωση προνομίων και πλευρική μετακίνηση.
