SharpRhino RAT
קבוצת Hunters International Ransomware פיתחה C# Remote Access Trojan (RAT) חדש בשם SharpRhino כדי לכוון לעובדי IT ולחדור לרשתות ארגוניות. תוכנה זדונית זו מאפשרת הדבקה ראשונית, הסלמה של הרשאות במערכות שנפרצות, ביצוע פקודות PowerShell ובסופו של דבר פריסת תוכנות כופר.
חוקרי אבטחת סייבר זיהו שהתוכנה הזדונית מופצת דרך אתר שגיאות הקלדה המחקה את אתר האינטרנט של Angry IP Scanner, כלי רשת פופולרי המשמש מומחי IT.
תוכן העניינים
מיתוג מחדש אפשרי של קבוצת פשעי סייבר קודמת
ה- Hunters International , מבצע תוכנת כופר שהושק בסוף 2023, חשוד כמותג מחדש של Hive עקב קווי דמיון בקוד שלהם. בין הקורבנות הבולטים שלה הם Austal USA, קבלן חיל הים האמריקני, ענקית האופטיקה היפנית Hoya, Integris Health ומרכז הסרטן Fred Hutch, המדגישים את ההתעלמות של הקבוצה מגבולות אתיים.
בשנת 2024, הקבוצה לקחה אחריות על 134 התקפות של תוכנות כופר על ארגונים ברחבי העולם (למעט אלו באזור CIS), מה שהפך אותה לקבוצת תוכנות הכופר העשירית בפעילותה השנה.
כיצד פועל ה-SharpRhino RAT?
SharpRhino מופץ כמתקין 32 סיביות חתום דיגיטלי ('ipscan-3.9.1-setup.exe') הכולל ארכיון 7z לחילוץ עצמי, מוגן בסיסמה, המכיל קבצים נוספים הנחוצים לתהליך ההדבקה. עם ההתקנה, התוכנה משנה את הרישום של Windows לצורך התמדה ויוצרת קיצור דרך ל-Microsoft.AnyKey.exe, קובץ בינארי של Microsoft Visual Studio שנעשה בו שימוש לרעה בהקשר זה.
המתקין גם מוריד את 'LogUpdate.bat', שמריץ סקריפטים של PowerShell במכשיר כדי להדר קוד C# לזיכרון, מה שמאפשר ביצוע תוכנות זדוניות חמקניות. לצורך יתירות, המתקין יוצר שתי ספריות: 'C:\ProgramData\Microsoft: WindowsUpdater24' ו-'LogUpdateWindows', שתיהן משמשות לתקשורת פקודה ובקרה (C2).
לתוכנה הזדונית יש שתי פקודות מקודדות קשיח: 'עיכוב', שמגדיר את הטיימר לבקשת ה-POST הבאה לאחזר פקודה, ו-'יציאה' שמפסיקה את התקשורת שלה. ניתוח מגלה שהתוכנה הזדונית יכולה לבצע פקודות PowerShell על המארח, מה שמאפשר לו לבצע פעולות מזיקות שונות.
פושעי סייבר משתמשים באתרים מזויפים המחקים כלים לגיטימיים
ה-Hunters International אימצה אסטרטגיה חדשה של שימוש באתרי אינטרנט המחקים כלי סריקת רשת לגיטימיים בקוד פתוח כדי למקד לאנשי IT, במטרה להפר חשבונות עם הרשאות גבוהות.
על המשתמשים להיזהר מתוצאות חיפוש ממומנות כדי למנוע פרסום רע, להשתמש בחוסמי פרסומות כדי למנוע את הופעת התוצאות הללו, ולסמן אתרי פרויקטים רשמיים הידועים כמספקים מתקינים בטוחים. כדי להחליש את ההשפעה של מתקפות כופר, יש ליישם תוכנית גיבוי חזקה, לתרגל פילוח רשת ולשמור על כל התוכנות מעודכנות כדי למזער הזדמנויות להסלמה של הרשאות ותנועה לרוחב.
