SharpRhino RAT
Hunters International Ransomware -ryhmä on kehittänyt uuden C# Remote Access Trojan (RAT) -nimisen SharpRhino-nimisen IT-työntekijöiden kohdistamiseksi ja yritysten verkkojen soluttautumisen. Tämä haittaohjelma helpottaa alkutartuntaa, oikeuksien laajentamista vaarantuneissa järjestelmissä, PowerShell-komentojen suorittamista ja lopulta kiristysohjelmien käyttöönottoa.
Kyberturvallisuustutkijat ovat havainneet, että haittaohjelma leviää kirjoitusvirheitä sisältävän sivuston kautta, joka jäljittelee IT-ammattilaisten käyttämän suositun verkkotyökalun Angry IP Scanner -verkkosivustoa.
Sisällysluettelo
Edellisen kyberrikollisuusryhmän mahdollinen uudelleenbrändi
Hunters Internationalin , vuoden 2023 lopulla aloitetun kiristyshaittaohjelman, epäillään olevan Hiven uudelleentuotemerkki, koska niiden koodissa on yhtäläisyyksiä. Sen merkittäviä uhreja ovat Austal USA, Yhdysvaltain laivaston urakoitsija, japanilainen optiikan jättiläinen Hoya, Integris Health ja Fred Hutch Cancer Center, mikä korostaa ryhmän piittaamattomuutta eettisiä rajoja kohtaan.
Vuonna 2024 ryhmä ilmoitti olevansa vastuussa 134 kiristysohjelmahyökkäyksestä organisaatioita vastaan maailmanlaajuisesti (lukuun ottamatta IVY-alueen organisaatioita), joten se on kymmenenneksi aktiivisin kiristysohjelmaryhmä tänä vuonna.
Kuinka SharpRhino RAT toimii?
SharpRhino jaetaan digitaalisesti allekirjoitettuna 32-bittisenä asennusohjelmana ('ipscan-3.9.1-setup.exe'), joka sisältää itsepurkautuvan, salasanalla suojatun 7z-arkiston, joka sisältää tartuntaprosessiin tarvittavia lisätiedostoja. Asennuksen yhteydessä ohjelmisto muuttaa Windowsin rekisteriä pysyvyyden vuoksi ja luo pikakuvakkeen Microsoft.AnyKey.exe-tiedostoon, Microsoft Visual Studion binaariin, jota käytetään väärin tässä yhteydessä.
Asennusohjelma myös pudottaa tiedoston "LogUpdate.bat", joka suorittaa PowerShell-komentosarjat laitteessa kääntääkseen C#-koodin muistiin, mikä mahdollistaa haittaohjelmien salaamisen. Redundanssia varten asennusohjelma luo kaksi hakemistoa: "C:\ProgramData\Microsoft: WindowsUpdater24" ja "LogUpdateWindows", joita molempia käytetään komento- ja ohjausviestintään (C2).
Haittaohjelmassa on kaksi kovakoodattua komentoa: 'delay', joka asettaa ajastimen seuraavalle POST-pyynnölle komennon noutamiseksi, ja 'exit', joka katkaisee sen viestinnän. Analyysi paljastaa, että haittaohjelma voi suorittaa PowerShell-komentoja isännässä, jolloin se voi suorittaa erilaisia haitallisia toimia.
Kyberrikolliset käyttävät väärennettyjä sivustoja, jotka jäljittelevät laillisia työkaluja
Hunters International on omaksunut uuden strategian käyttää laillisia avoimen lähdekoodin verkkoskannaustyökaluja jäljitteleviä verkkosivustoja IT-ammattilaisten kohdistamiseen tavoitteenaan rikkoa tilejä korotetuilla oikeuksilla.
Käyttäjien tulee olla varovaisia sponsoroitujen hakutulosten suhteen välttääkseen haitallisia mainoksia, käyttää mainosten estoaineita estääkseen näiden tulosten näkymisen ja lisätä kirjanmerkkeihin virallisia projektisivustoja, jotka tunnetaan tarjoavan turvallisia asentajia. Voit heikentää kiristysohjelmahyökkäysten vaikutusta ottamalla käyttöön vankan varmuuskopiointisuunnitelman, harjoittelemalla verkon segmentointia ja pitämällä kaikki ohjelmistot ajan tasalla minimoidaksesi oikeuksien lisääntymisen ja sivuttaisliikkeen.
