SharpRhino RAT
ក្រុម Hunters International Ransomware បានបង្កើត C# Remote Access Trojan (RAT) ថ្មីមួយដែលមានឈ្មោះថា SharpRhino ដើម្បីកំណត់គោលដៅបុគ្គលិក IT និងជ្រៀតចូលបណ្តាញសាជីវកម្ម។ មេរោគនេះជួយសម្រួលដល់ការឆ្លងដំបូង ការកើនឡើងសិទ្ធិលើប្រព័ន្ធដែលត្រូវបានសម្របសម្រួល ការប្រតិបត្តិពាក្យបញ្ជា PowerShell និងទីបំផុតការដាក់ពង្រាយ ransomware ។
អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណថាមេរោគនេះកំពុងរីករាលដាលតាមរយៈគេហទំព័រ typosquatting ដែលធ្វើត្រាប់តាមគេហទំព័ររបស់ Angry IP Scanner ដែលជាឧបករណ៍បណ្តាញដ៏ពេញនិយមប្រើដោយអ្នកជំនាញផ្នែកព័ត៌មានវិទ្យា។
តារាងមាតិកា
Rebrand ដែលអាចកើតមាននៃក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតពីមុន
Hunters International ដែលជាប្រតិបត្តិការ ransomware ដែលបានចាប់ផ្តើមនៅចុងឆ្នាំ 2023 ត្រូវបានគេសង្ស័យថាជាម៉ាកយីហោ Hive ឡើងវិញដោយសារតែភាពស្រដៀងគ្នានៅក្នុងកូដរបស់ពួកគេ។ ក្នុងចំណោមជនរងគ្រោះដែលគួរអោយកត់សំគាល់គឺ Austal USA អ្នកម៉ៅការកងទ័ពជើងទឹកអាមេរិក ក្រុមហ៊ុនអុបទិកជប៉ុន Hoya ក្រុមហ៊ុន Integris Health និងមជ្ឈមណ្ឌលមហារីក Fred Hutch ដោយគូសបញ្ជាក់ពីការមិនយកចិត្តទុកដាក់របស់ក្រុមចំពោះព្រំដែនសីលធម៌។
នៅឆ្នាំ 2024 ក្រុមនេះបានអះអាងទទួលខុសត្រូវចំពោះការវាយប្រហារ ransomware ចំនួន 134 លើស្ថាប័ននានាទូទាំងពិភពលោក (មិនរាប់បញ្ចូលតំបន់ CIS) ដែលធ្វើឱ្យវាក្លាយជាក្រុម ransomware សកម្មបំផុតទីដប់នៅឆ្នាំនេះ។
តើ SharpRhino RAT ដំណើរការយ៉ាងដូចម្តេច?
SharpRhino ត្រូវបានចែកចាយជាកម្មវិធីដំឡើង 32 ប៊ីតដែលបានចុះហត្ថលេខាជាឌីជីថល ('ipscan-3.9.1-setup.exe') ដែលរួមបញ្ចូលទាំងការស្រង់ចេញដោយខ្លួនឯង ការពារដោយពាក្យសម្ងាត់ដែលមានឯកសារបន្ថែមដែលចាំបាច់សម្រាប់ដំណើរការឆ្លង។ នៅពេលដំឡើងរួច កម្មវិធីនឹងផ្លាស់ប្តូរបញ្ជីឈ្មោះរបស់ Windows សម្រាប់ភាពស្ថិតស្ថេរ និងបង្កើតផ្លូវកាត់ទៅកាន់ Microsoft.AnyKey.exe ដែលជាប្រព័ន្ធគោលពីររបស់ Microsoft Visual Studio ដែលត្រូវបានប្រើប្រាស់ខុសក្នុងបរិបទនេះ។
កម្មវិធីដំឡើងក៏ទម្លាក់ 'LogUpdate.bat' ដែលដំណើរការស្គ្រីប PowerShell នៅលើឧបករណ៍ដើម្បីចងក្រងកូដ C# ទៅក្នុងអង្គចងចាំ ដោយបើកដំណើរការកម្មវិធីមេរោគលួចលាក់។ សម្រាប់ការលែងត្រូវការតទៅទៀត កម្មវិធីដំឡើងនឹងបង្កើតថតពីរ៖ 'C:\ProgramData\Microsoft: WindowsUpdater24' និង 'LogUpdateWindows' ដែលទាំងពីរនេះត្រូវបានប្រើប្រាស់សម្រាប់ការទំនាក់ទំនងពាក្យបញ្ជា និងការគ្រប់គ្រង (C2) ។
មេរោគមានពាក្យបញ្ជា hardcoded ពីរ៖ 'delay' ដែលកំណត់ម៉ោងកំណត់សម្រាប់ការស្នើសុំ POST បន្ទាប់ដើម្បីទាញយកពាក្យបញ្ជា និង 'exit' ដែលបិទទំនាក់ទំនងរបស់វា។ ការវិភាគបង្ហាញថា មេរោគអាចប្រតិបត្តិពាក្យបញ្ជា PowerShell លើម៉ាស៊ីន ដែលអនុញ្ញាតឱ្យវាធ្វើសកម្មភាពគ្រោះថ្នាក់ផ្សេងៗ។
ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិត ប្រើគេហទំព័រក្លែងក្លាយ ធ្វើត្រាប់តាមឧបករណ៍ស្របច្បាប់
Hunters International បានអនុម័តយុទ្ធសាស្ត្រថ្មីនៃការប្រើប្រាស់គេហទំព័រដែលធ្វើត្រាប់តាមឧបករណ៍ស្កែនបណ្តាញប្រភពបើកចំហស្របច្បាប់ដើម្បីកំណត់គោលដៅអ្នកជំនាញផ្នែកព័ត៌មានវិទ្យា គោលបំណងរំលោភលើគណនីដែលមានសិទ្ធិខ្ពស់។
អ្នកប្រើប្រាស់គួរតែប្រុងប្រយ័ត្នចំពោះលទ្ធផលស្វែងរកដែលបានឧបត្ថម្ភ ដើម្បីជៀសវាងការផ្សាយពាណិជ្ជកម្មមិនប្រក្រតី ប្រើកម្មវិធីទប់ស្កាត់ការផ្សាយពាណិជ្ជកម្ម ដើម្បីការពារលទ្ធផលទាំងនេះពីការលេចឡើង និងចំណាំគេហទំព័រគម្រោងផ្លូវការដែលគេស្គាល់ថាជាអ្នកផ្តល់កម្មវិធីដំឡើងសុវត្ថិភាព។ ដើម្បីចុះខ្សោយឥទ្ធិពលនៃការវាយប្រហារ ransomware អនុវត្តផែនការបម្រុងទុកដ៏រឹងមាំ អនុវត្តការបែងចែកបណ្តាញ និងរក្សាកម្មវិធីទាំងអស់ឱ្យទាន់សម័យ ដើម្បីកាត់បន្ថយឱកាសសម្រាប់ការកើនឡើងសិទ្ធិ និងចលនានៅពេលក្រោយ។
