Sharp Rhino RAT
Hunters International Ransomware grupp on välja töötanud uue C# Remote Access Trooja (RAT) nimega SharpRhino, et sihtida IT-töötajaid ja tungida ettevõtete võrkudesse. See pahavara hõlbustab esmast nakatumist, õiguste suurendamist ohustatud süsteemides, PowerShelli käskude täitmist ja lõpuks lunavara juurutamist.
Küberturvalisuse uurijad on tuvastanud, et pahavara levib kirjavigade saidi kaudu, mis jäljendab IT-spetsialistide poolt kasutatava populaarse võrgutööriista Angry IP Scanner veebisaiti.
Sisukord
Eelmise küberkuritegevuse grupi võimalik rebränd
2023. aasta lõpus käivitatud lunavaraoperatsioon Hunters International kahtlustatakse Hive'i ümberkaubamärgina nende koodide sarnasuste tõttu. Selle märkimisväärsete ohvrite hulgas on USA mereväe töövõtja Austal USA, Jaapani optikagigant Hoya, Integris Health ja Fred Hutch Cancer Center, rõhutades grupi eetiliste piiride eiramist.
2024. aastal võttis rühmitus endale vastutuse 134 lunavararünnaku eest organisatsioonide vastu kogu maailmas (v.a SRÜ regioonis asuvad organisatsioonid), olles sel aastal aktiivsemalt kümnes lunavaragrupp.
Kuidas SharpRhino RAT töötab?
SharpRhinot levitatakse digitaalselt allkirjastatud 32-bitise installiprogrammina ('ipscan-3.9.1-setup.exe'), mis sisaldab isepahanduvat parooliga kaitstud 7z arhiivi, mis sisaldab nakatumisprotsessiks vajalikke lisafaile. Installimisel muudab tarkvara Windowsi registrit püsivuse tagamiseks ja loob otsetee Microsoft.AnyKey.exe-le, Microsoft Visual Studio kahendfailile, mida selles kontekstis väärkasutatakse.
Installer loobub ka 'LogUpdate.bat'ist, mis käivitab seadmes PowerShelli skripte, et kompileerida C#-koodi mällu, võimaldades salaja pahavara käivitamist. Liiasuse jaoks loob installer kaks kataloogi: 'C:\ProgramData\Microsoft: WindowsUpdater24' ja 'LogUpdateWindows', mida mõlemat kasutatakse käsu- ja juhtimissuhtluseks (C2).
Pahavaral on kaks kõvakoodiga käsku: 'viivitus', mis määrab käsu toomiseks järgmise POST-i päringu taimeri ja 'exit', mis lõpetab selle suhtluse. Analüüs näitab, et pahavara võib hostis täita PowerShelli käske, võimaldades sellel teha mitmesuguseid kahjulikke toiminguid.
Küberkurjategijad kasutavad võltsitud saite, mis jäljendavad seaduslikke tööriistu
Hunters International on võtnud kasutusele uue strateegia, mille kohaselt kasutatakse IT-spetsialistidele suunatud veebisaite, mis jäljendavad legitiimseid avatud lähtekoodiga võrguskannimise tööriistu, eesmärgiga rikkuda kõrgendatud õigustega kontosid.
Kasutajad peaksid olema sponsoreeritud otsingutulemuste suhtes ettevaatlikud, et vältida pahatahtlikku reklaami, kasutama reklaamiblokeerijaid, et vältida nende tulemuste ilmumist, ja järjehoidjatesse lisama ametlikud projektisaidid, mis on tuntud turvalise installijate pakkumise poolest. Lunavararünnakute mõju nõrgendamiseks rakendage jõulist varundusplaani, harjutage võrgu segmenteerimist ja hoidke kogu tarkvara ajakohasena, et minimeerida privileegide eskaleerumise ja külgsuunalise liikumise võimalusi.
