Sharp Rhino RAT
A Hunters International Ransomware csoport kifejlesztett egy új C# Remote Access Trojan (RAT) nevű SharpRhino nevű programot, amellyel IT-alkalmazottakat céloz meg és behatol a vállalati hálózatokba. Ez a rosszindulatú program megkönnyíti a kezdeti fertőzést, a jogosultságok kiterjesztését a feltört rendszereken, a PowerShell-parancsok végrehajtását és végső soron a zsarolóprogramok telepítését.
A kiberbiztonsági kutatók megállapították, hogy a rosszindulatú program az informatikai szakemberek által használt népszerű hálózati eszköz, az Angry IP Scanner webhelyét utánzó, elgépelt webhelyen keresztül terjed.
Tartalomjegyzék
A korábbi kiberbűnözési csoport lehetséges átnevezése
A Hunters International , egy 2023 végén indított zsarolóvírus-művelet, a kódjuk hasonlóságai miatt feltételezhetően a Hive újramárkája. Figyelemre méltó áldozatai közé tartozik az Austal USA, az amerikai haditengerészet alvállalkozója, a japán optikaóriás, a Hoya, az Integris Health és a Fred Hutch Cancer Center, kiemelve, hogy a csoport figyelmen kívül hagyja az etikai határokat.
2024-ben a csoport 134 ransomware támadásért vállalta magára a felelősséget világszerte (kivéve a FÁK-régióban lévőket), ezzel a tizedik legaktívabb ransomware csoport az idén.
Hogyan működik a SharpRhino RAT?
A SharpRhino digitálisan aláírt, 32 bites telepítőként ("ipscan-3.9.1-setup.exe") kerül terjesztésre, amely egy önkicsomagoló, jelszóval védett 7z archívumot tartalmaz, amely a fertőzési folyamathoz szükséges további fájlokat tartalmazza. Telepítéskor a szoftver megváltoztatja a Windows rendszerleíró adatbázisát a fennmaradás érdekében, és létrehoz egy parancsikont a Microsoft.AnyKey.exe fájlhoz, amely a Microsoft Visual Studio bináris fájlja, amelyet ebben az összefüggésben visszaélnek.
A telepítő eldobja a „LogUpdate.bat” fájlt is, amely PowerShell-szkripteket futtat az eszközön, hogy a C# kódot a memóriába fordítsa, lehetővé téve a rosszindulatú programok rejtett futtatását. A redundancia érdekében a telepítő két könyvtárat hoz létre: 'C:\ProgramData\Microsoft: WindowsUpdater24' és 'LogUpdateWindows', mindkettőt a parancs- és vezérlési (C2) kommunikációhoz használják.
A rosszindulatú programnak két keménykódolt parancsa van: a 'delay', amely beállítja az időzítőt a következő POST-kéréshez a parancs lekéréséhez, és az "exit", amely befejezi a kommunikációt. Az elemzés feltárja, hogy a rosszindulatú program PowerShell-parancsokat hajthat végre a gazdagépen, lehetővé téve különböző káros műveletek végrehajtását.
A kiberbűnözők hamis webhelyeket használnak, amelyek törvényes eszközöket utánoznak
A Hunters International olyan új stratégiát fogadott el, amely a legális nyílt forráskódú hálózati szkennelő eszközöket utánzó webhelyeket használ az IT-szakemberek megcélzására, és célja a magasabb jogosultságokkal rendelkező fiókok feltörése.
A felhasználóknak óvatosnak kell lenniük a szponzorált keresési eredményekkel, hogy elkerüljék a rosszindulatú hirdetéseket, hirdetésblokkolókat kell használniuk, hogy megakadályozzák ezeknek az eredményeknek a megjelenését, és a könyvjelzők közé kell tenniük a biztonságos telepítőkről ismert hivatalos projektoldalakat. A zsarolóvírus-támadások hatásának gyengítése érdekében hajtson végre egy robusztus biztonsági mentési tervet, gyakorolja a hálózati szegmentálást, és tartsa naprakészen az összes szoftvert, hogy minimalizálja a jogosultságok kiszélesítésének és oldalirányú mozgásának lehetőségét.
