موش شارپ راینو

گروه باج افزار بین المللی Hunters یک تروجان دسترسی از راه دور C# (RAT) جدید به نام SharpRhino را برای هدف قرار دادن کارکنان فناوری اطلاعات و نفوذ به شبکه های شرکتی توسعه داده است. این بدافزار آلودگی اولیه، افزایش امتیاز در سیستم‌های در معرض خطر، اجرای دستورات PowerShell و در نهایت استقرار باج‌افزار را تسهیل می‌کند.

محققان امنیت سایبری شناسایی کرده‌اند که این بدافزار از طریق یک سایت typosquatting که از وب‌سایت Angry IP Scanner، یک ابزار شبکه محبوب که توسط متخصصان فناوری اطلاعات استفاده می‌شود، تقلید می‌کند، پخش می‌شود.

نام تجاری احتمالی گروه جرایم سایبری قبلی

شکارچیان بین‌المللی ، یک عملیات باج‌افزاری که در اواخر سال 2023 راه‌اندازی شد، به دلیل شباهت‌هایی که در کد آنها وجود دارد، گمان می‌رود که نام تجاری Hive را تغییر دهد. از جمله قربانیان قابل توجه آن می توان به Austal USA، پیمانکار نیروی دریایی ایالات متحده، غول اپتیک ژاپنی Hoya، Integris Health و مرکز سرطان فرد هاچ اشاره کرد که بی توجهی این گروه به مرزهای اخلاقی را برجسته می کند.

در سال 2024، این گروه مسئولیت 134 حمله باج افزار به سازمان ها در سراسر جهان (به استثنای سازمان های منطقه CIS) را بر عهده گرفت و دهمین گروه باج افزار فعال در سال جاری شد.

موش صحرایی SharpRhino چگونه کار می کند؟

SharpRhino به‌عنوان یک نصب‌کننده 32 بیتی با امضای دیجیتالی توزیع شده است ('ipscan-3.9.1-setup.exe') که شامل یک آرشیو ۷z محافظت‌شده با رمز عبور خود استخراج‌شده و حاوی فایل‌های اضافی لازم برای فرآیند عفونت است. پس از نصب، نرم افزار رجیستری ویندوز را برای ماندگاری تغییر می دهد و یک میانبر برای Microsoft.AnyKey.exe ایجاد می کند، یک باینری Microsoft Visual Studio که در این زمینه سوء استفاده می شود.

نصب کننده همچنین LogUpdate.bat را حذف می کند، که اسکریپت های PowerShell را روی دستگاه اجرا می کند تا کدهای C# را در حافظه کامپایل کند و اجرای بدافزار مخفی را امکان پذیر می کند. برای افزونگی، نصب کننده دو دایرکتوری ایجاد می کند: 'C:\ProgramData\Microsoft: WindowsUpdater24' و 'LogUpdateWindows'، که هر دو برای ارتباط فرمان و کنترل (C2) استفاده می شوند.

این بدافزار دو فرمان رمزگذاری شده دارد: 'تاخیر' که تایمر درخواست POST بعدی را برای بازیابی یک فرمان تنظیم می کند و 'خروج' که ارتباط آن را خاتمه می دهد. تجزیه و تحلیل نشان می دهد که این بدافزار می تواند دستورات PowerShell را بر روی هاست اجرا کند و به آن اجازه می دهد تا اقدامات مضر مختلفی را انجام دهد.

مجرمان سایبری از سایت های جعلی با تقلید از ابزارهای قانونی استفاده می کنند

Hunters International استراتژی جدیدی را برای استفاده از وب‌سایت‌هایی اتخاذ کرده است که از ابزارهای اسکن شبکه منبع باز قانونی تقلید می‌کنند تا متخصصان فناوری اطلاعات را هدف قرار دهند و هدف آن نقض حساب‌های دارای امتیازات بالا باشد.

کاربران باید مراقب نتایج جستجوی حمایت‌شده باشند تا از تبلیغات نادرست جلوگیری کنند، از مسدودکننده‌های تبلیغات برای جلوگیری از نمایش این نتایج استفاده کنند و سایت‌های پروژه رسمی را که به دلیل ارائه نصب‌کننده‌های ایمن شناخته شده‌اند، نشانک‌گذاری کنند. برای تضعیف تأثیر حملات باج‌افزار، یک برنامه پشتیبان قوی اجرا کنید، تقسیم‌بندی شبکه را تمرین کنید، و همه نرم‌افزارها را به‌روز نگه دارید تا فرصت‌های افزایش امتیاز و حرکت جانبی را به حداقل برسانید.