샤프코뿔소 쥐

Hunters International 랜섬웨어 그룹은 IT 직원을 표적으로 삼고 기업 네트워크에 침투하기 위해 SharpRhino라는 새로운 C# 원격 액세스 트로이 목마(RAT)를 개발했습니다. 이 악성 코드는 초기 감염, 손상된 시스템에 대한 권한 상승, PowerShell 명령 실행 및 궁극적으로 랜섬웨어 배포를 촉진합니다.

사이버 보안 연구원들은 IT 전문가들이 사용하는 인기 있는 네트워킹 도구인 Angry IP Scanner의 웹사이트를 모방한 타이포스쿼팅 사이트를 통해 악성 코드가 확산되고 있음을 확인했습니다.

이전 사이버 범죄 그룹의 브랜드 변경 가능성

2023년 후반에 시작된 랜섬웨어인 Hunters International은 코드의 유사성으로 인해 Hive 의 브랜드를 변경한 것으로 의심됩니다. 주목할만한 피해자 중에는 미 해군 계약업체인 Austal USA, 일본의 광학 대기업인 Hoya, Integris Health 및 Fred Hutch 암 센터가 있으며 이는 이 그룹의 윤리적 경계 무시를 강조합니다.

2024년에 이 그룹은 전 세계 조직(CIS 지역 제외)에 대한 134건의 랜섬웨어 공격에 대한 책임이 있다고 주장하여 올해 10번째로 활동적인 랜섬웨어 그룹이 되었습니다.

SharpRhino RAT는 어떻게 작동합니까?

SharpRhino는 감염 프로세스에 필요한 추가 파일이 포함된 자동 압축 풀기, 비밀번호로 보호된 7z 아카이브를 포함하는 디지털 서명된 32비트 설치 프로그램('ipscan-3.9.1-setup.exe')으로 배포됩니다. 설치 시 소프트웨어는 지속성을 위해 Windows 레지스트리를 변경하고 이 컨텍스트에서 오용되는 Microsoft Visual Studio 바이너리인 Microsoft.AnyKey.exe에 대한 바로 가기를 만듭니다.

또한 설치 프로그램은 장치에서 PowerShell 스크립트를 실행하여 C# 코드를 메모리로 컴파일하여 은밀하게 악성 코드를 실행하는 'LogUpdate.bat'를 삭제합니다. 중복성을 위해 설치 프로그램은 'C:\ProgramData\Microsoft: WindowsUpdater24' 및 'LogUpdateWindows'라는 두 개의 디렉터리를 생성하며, 두 디렉터리 모두 명령 및 제어(C2) 통신에 사용됩니다.

악성코드에는 명령을 검색하기 위해 다음 POST 요청에 대한 타이머를 설정하는 'delay'와 통신을 종료하는 'exit'라는 두 가지 하드코딩된 명령이 있습니다. 분석 결과, 악성코드는 호스트에서 PowerShell 명령을 실행하여 다양한 유해한 작업을 수행할 수 있는 것으로 나타났습니다.

사이버 범죄자는 합법적인 도구를 모방한 가짜 사이트를 사용합니다.

Hunters International은 IT 전문가를 대상으로 합법적인 오픈 소스 네트워크 검색 도구를 모방하는 웹사이트를 사용하여 높은 권한을 가진 계정을 침해하는 새로운 전략을 채택했습니다.

사용자는 악성 광고를 피하기 위해 스폰서 검색 결과에 주의해야 하며, 광고 차단기를 사용하여 이러한 결과가 나타나지 않도록 하고, 안전한 설치 프로그램을 제공하는 것으로 알려진 공식 프로젝트 사이트를 북마크해야 합니다. 랜섬웨어 공격의 영향을 약화하려면 강력한 백업 계획을 구현하고, 네트워크 세분화를 실행하고, 모든 소프트웨어를 최신 상태로 유지하여 권한 상승 및 측면 이동의 기회를 최소화해야 합니다.