ŠTAKOR SharpRhino
Hunters International Ransomware grupa razvila je novi C# Remote Access Trojan (RAT) pod nazivom SharpRhino za ciljanje IT radnika i infiltraciju u korporativne mreže. Ovaj zlonamjerni softver olakšava početnu infekciju, eskalaciju privilegija na kompromitiranim sustavima, izvršavanje PowerShell naredbi i konačno implementaciju ransomwarea.
Istraživači kibernetičke sigurnosti otkrili su da se zlonamjerni softver širi putem typosquatting stranice koja oponaša web stranicu Angry IP Scannera, popularnog mrežnog alata koji koriste IT stručnjaci.
Sadržaj
Mogući rebrend prethodne grupe za kibernetički kriminal
Sumnja se da je Hunters International , ransomware operacija pokrenuta krajem 2023., rebrend Hivea zbog sličnosti u njihovom kodu. Među značajnim žrtvama su Austal USA, izvođač radova američke mornarice, japanski optički div Hoya, Integris Health i Fred Hutch Cancer Center, naglašavajući nepoštivanje etičkih granica grupe.
U 2024. grupa je preuzela odgovornost za 134 napada ransomwarea na organizacije širom svijeta (isključujući one u CIS regiji), što ju čini desetom najaktivnijom ransomware grupom ove godine.
Kako radi SharpRhino RAT?
SharpRhino se distribuira kao digitalno potpisan 32-bitni instalacijski program ('ipscan-3.9.1-setup.exe') koji uključuje samoraspakirajuću, lozinkom zaštićenu 7z arhivu koja sadrži dodatne datoteke potrebne za proces infekcije. Nakon instalacije, softver mijenja Windows registar radi postojanosti i stvara prečac do Microsoft.AnyKey.exe, Microsoft Visual Studio binarne datoteke koja se zlorabi u ovom kontekstu.
Instalacijski program također ispušta 'LogUpdate.bat' koji pokreće PowerShell skripte na uređaju za kompajliranje C# koda u memoriju, omogućujući prikriveno izvršavanje zlonamjernog softvera. Za redundanciju, instalacijski program stvara dva direktorija: 'C:\ProgramData\Microsoft: WindowsUpdater24' i 'LogUpdateWindows', a oba se koriste za komunikaciju naredbi i kontrole (C2).
Zlonamjerni softver ima dvije tvrdo kodirane naredbe: 'delay', koja postavlja mjerač vremena za sljedeći POST zahtjev za dohvaćanje naredbe, i 'exit', koja prekida komunikaciju. Analiza otkriva da zlonamjerni softver može izvršavati PowerShell naredbe na glavnom računalu, što mu omogućuje izvođenje raznih štetnih radnji.
Kibernetički kriminalci koriste lažna mjesta koja oponašaju legitimne alate
Hunters International usvojio je novu strategiju korištenja web stranica koje oponašaju legitimne alate za mrežno skeniranje otvorenog koda za ciljanje IT stručnjaka, s ciljem provale u račune s povišenim privilegijama.
Korisnici bi trebali biti oprezni sa sponzoriranim rezultatima pretraživanja kako bi izbjegli zlonamjerno oglašavanje, koristiti programe za blokiranje oglasa kako bi spriječili pojavljivanje ovih rezultata i označavati službene stranice projekta poznate po pružanju sigurnih instalacijskih programa. Kako biste oslabili utjecaj napada ransomwarea, implementirajte robustan rezervni plan, prakticirajte segmentaciju mreže i održavajte sav softver ažuriranim kako biste smanjili mogućnosti za eskalaciju privilegija i bočno pomicanje.
