Sharp Rhino RAT
Hunters International Ransomware grupa ir izstrādājusi jaunu C# Remote Access Trojan (RAT) ar nosaukumu SharpRhino, lai mērķētu uz IT darbiniekiem un iefiltrētos korporatīvajos tīklos. Šī ļaunprogrammatūra atvieglo sākotnējo inficēšanos, privilēģiju eskalāciju apdraudētās sistēmās, PowerShell komandu izpildi un galu galā izspiedējprogrammatūras izvietošanu.
Kiberdrošības pētnieki ir noskaidrojuši, ka ļaunprogrammatūra tiek izplatīta, izmantojot drukas vietni, kas atdarina vietni Angry IP Scanner, kas ir populārs tīkla rīks, ko izmanto IT speciālisti.
Satura rādītājs
Iepriekšējās kibernoziedzības grupas iespējamais rebrends
Ir aizdomas, ka Hunters International , izpirkuma programmatūras operācija, kas tika uzsākta 2023. gada beigās, ir Hive zīmola maiņa, jo to kodā ir līdzības. Starp tās ievērojamiem upuriem ir ASV Jūras spēku darbuzņēmējs Austal USA, Japānas optikas gigants Hoya, Integris Health un Freda Hača vēža centrs, uzsverot grupas ētikas robežu neievērošanu.
2024. gadā grupa uzņēmās atbildību par 134 izspiedējvīrusu uzbrukumiem organizācijām visā pasaulē (izņemot tās, kas atrodas NVS reģionā), padarot to par desmito aktīvāko izspiedējvīrusu grupu šogad.
Kā darbojas SharpRhino RAT?
SharpRhino tiek izplatīts kā digitāli parakstīts 32 bitu instalēšanas programma (“ipscan-3.9.1-setup.exe”), kas ietver pašizpletes, ar paroli aizsargātu 7z arhīvu, kurā ir inficēšanas procesam nepieciešamie papildu faili. Pēc instalēšanas programmatūra maina Windows reģistru noturības labad un izveido saīsni uz Microsoft.AnyKey.exe, Microsoft Visual Studio bināro failu, kas šajā kontekstā tiek izmantots ļaunprātīgi.
Instalēšanas programma arī atmet 'LogUpdate.bat', kas ierīcē palaiž PowerShell skriptus, lai apkopotu C# kodu atmiņā, tādējādi ļaujot slēptu ļaunprātīgas programmatūras izpildi. Redundancei instalēšanas programma izveido divus direktorijus: "C:\ProgramData\Microsoft: WindowsUpdater24" un "LogUpdateWindows", kas abi tiek izmantoti komandu un vadības (C2) saziņai.
Ļaunprātīgai programmatūrai ir divas iekodētas komandas: “aizkavēšanās”, kas iestata taimeri nākamajam POST pieprasījumam, lai izgūtu komandu, un “exit”, kas pārtrauc tās saziņu. Analīze atklāj, ka ļaunprogrammatūra var izpildīt PowerShell komandas resursdatorā, ļaujot tai veikt dažādas kaitīgas darbības.
Kibernoziedznieki izmanto viltotas vietnes, kas imitē likumīgus rīkus
Hunters International ir pieņēmusi jaunu stratēģiju, izmantojot tīmekļa vietnes, kas atdarina likumīgus atvērtā pirmkoda tīkla skenēšanas rīkus, lai mērķētu uz IT profesionāļiem, lai uzlauztu kontus ar paaugstinātām privilēģijām.
Lietotājiem ir jābūt piesardzīgiem attiecībā uz sponsorētiem meklēšanas rezultātiem, lai izvairītos no ļaunprātīgas reklāmas, jāizmanto reklāmu bloķētāji, lai novērstu šo rezultātu parādīšanos, un oficiālās projektu vietnes, kas ir pazīstamas ar drošu instalētāju nodrošināšanu, ir jāatzīmē ar grāmatzīmēm. Lai vājinātu izspiedējvīrusu uzbrukumu ietekmi, ieviesiet stabilu dublēšanas plānu, praktizējiet tīkla segmentāciju un atjauniniet visu programmatūru, lai samazinātu privilēģiju eskalācijas un sānu kustības iespējas.
