Sharp Rhino RAT
Hunters International Ransomware grupė sukūrė naują C# nuotolinės prieigos Trojos arklys (RAT), pavadintas SharpRhino, skirtas IT darbuotojams ir įsiskverbti į įmonių tinklus. Ši kenkėjiška programa palengvina pradinį užkrėtimą, privilegijų eskalavimą pažeistose sistemose, PowerShell komandų vykdymą ir galiausiai išpirkos reikalaujančios programinės įrangos diegimą.
Kibernetinio saugumo tyrėjai nustatė, kad kenkėjiška programa plinta per rašybos klaidų svetainę, kuri imituoja Angry IP Scanner – populiaraus IT specialistų naudojamo tinklo įrankio – svetainę.
Turinys
Galimas ankstesnės elektroninių nusikaltimų grupės pervadinimas
Įtariama, kad 2023 m. pabaigoje pradėta „išpirkos reikalaujančių programų“ operacija „Hunters International“ yra „Hive “ prekės ženklo keitimas dėl jų kodo panašumų. Tarp žymių jo aukų yra JAV karinio jūrų laivyno rangovas „Austal USA“, Japonijos optikos milžinė „Hoya“, „Integris Health“ ir Fredo Hutcho vėžio centras, pabrėždami, kad grupė nepaiso etinių ribų.
2024 m. grupė prisiėmė atsakomybę už 134 išpirkos reikalaujančių programų atakas prieš organizacijas visame pasaulyje (išskyrus NVS regione esančias), todėl šiais metais ji yra dešimta aktyviausia išpirkos reikalaujančių programų grupė.
Kaip veikia „SharpRhino RAT“?
„SharpRhino“ platinamas kaip skaitmeniniu parašu pasirašyta 32 bitų diegimo programa („ipscan-3.9.1-setup.exe“), kuri apima savaime išsiskleidžiantį, slaptažodžiu apsaugotą 7z archyvą, kuriame yra papildomų failų, reikalingų užsikrėtimo procesui. Įdiegus programinė įranga pakeičia „Windows“ registrą, kad išliktų, ir sukuria nuorodą į „Microsoft.AnyKey.exe“, „Microsoft Visual Studio“ dvejetainį failą, kuris netinkamai naudojamas šiame kontekste.
Diegimo programa taip pat atmeta „LogUpdate.bat“, kuri įrenginyje paleidžia „PowerShell“ scenarijus, kad sukompiliuotų C# kodą į atmintį ir įgalintų slaptą kenkėjiškų programų vykdymą. Dėl pertekliaus diegimo programa sukuria du katalogus: „C:\ProgramData\Microsoft: WindowsUpdater24“ ir „LogUpdateWindows“, kurie abu naudojami komandų ir valdymo (C2) ryšiui.
Kenkėjiška programinė įranga turi dvi užkoduotas komandas: „delsa“, kuri nustato kitos POST užklausos, skirtos komandai gauti, laikmatį ir „exit“, kuri nutraukia jos ryšį. Analizė atskleidžia, kad kenkėjiška programa gali vykdyti PowerShell komandas pagrindiniame kompiuteryje, leisdama atlikti įvairius žalingus veiksmus.
Kibernetiniai nusikaltėliai naudoja netikras svetaines, imituojančias teisėtus įrankius
„Hunters International“ priėmė naują strategiją, pagal kurią naudojamos svetainės, imituojančios teisėtus atvirojo kodo tinklo nuskaitymo įrankius, skirtus IT specialistams, siekiant pažeisti paskyras su padidintomis privilegijomis.
Naudotojai turėtų būti atsargūs dėl remiamų paieškos rezultatų, kad išvengtų netinkamos reklamos, naudoti skelbimų blokavimo priemones, kad šie rezultatai nebūtų rodomi, ir pažymėti oficialias projektų svetaines, kurios žinomos kaip saugios diegimo programos. Norėdami susilpninti išpirkos reikalaujančių programų atakų poveikį, įgyvendinkite patikimą atsarginį planą, praktikuokite tinklo segmentavimą ir nuolat atnaujinkite visą programinę įrangą, kad sumažintumėte privilegijų eskalavimo ir judėjimo į šoną galimybes.
