TIKUS SharpRhino

Kumpulan Hunters International Ransomware telah membangunkan C# Remote Access Trojan (RAT) baharu bernama SharpRhino untuk menyasarkan pekerja IT dan menyusup ke rangkaian korporat. Perisian hasad ini memudahkan jangkitan awal, peningkatan keistimewaan pada sistem yang terjejas, pelaksanaan perintah PowerShell dan akhirnya penggunaan perisian tebusan.

Penyelidik keselamatan siber telah mengenal pasti bahawa perisian hasad disebarkan melalui tapak typosquatting yang meniru tapak web Angry IP Scanner, alat rangkaian popular yang digunakan oleh profesional IT.

Kemungkinan Penjenamaan Semula Kumpulan Jenayah Siber Terdahulu

Hunters International , operasi perisian tebusan yang dilancarkan pada akhir 2023, disyaki sebagai penjenamaan semula Hive kerana persamaan dalam kod mereka. Antara mangsa terkenalnya ialah Austal USA, kontraktor Tentera Laut AS, gergasi optik Jepun Hoya, Integris Health, dan Pusat Kanser Fred Hutch, yang menonjolkan pengabaian kumpulan itu terhadap sempadan etika.

Pada 2024, kumpulan itu mengaku bertanggungjawab atas 134 serangan perisian tebusan ke atas organisasi di seluruh dunia (tidak termasuk yang berada di rantau CIS), menjadikannya kumpulan perisian tebusan kesepuluh paling aktif tahun ini.

Bagaimana SharpRhino RAT Beroperasi?

SharpRhino diedarkan sebagai pemasang 32-bit yang ditandatangani secara digital ('ipscan-3.9.1-setup.exe') yang termasuk arkib 7z yang diekstrak sendiri dan dilindungi kata laluan yang mengandungi fail tambahan yang diperlukan untuk proses jangkitan. Selepas pemasangan, perisian mengubah pendaftaran Windows untuk kegigihan dan mencipta pintasan ke Microsoft.AnyKey.exe, binari Microsoft Visual Studio yang disalahgunakan dalam konteks ini.

Pemasang juga menjatuhkan 'LogUpdate.bat,' yang menjalankan skrip PowerShell pada peranti untuk menyusun kod C# ke dalam memori, membolehkan pelaksanaan perisian hasad tersembunyi. Untuk lebihan, pemasang mencipta dua direktori: 'C:\ProgramData\Microsoft: WindowsUpdater24' dan 'LogUpdateWindows,' yang kedua-duanya digunakan untuk komunikasi arahan dan kawalan (C2).

Perisian hasad mempunyai dua perintah berkod keras: 'kelewatan,' yang menetapkan pemasa untuk permintaan POST seterusnya untuk mendapatkan semula arahan, dan 'keluar,' yang menamatkan komunikasinya. Analisis mendedahkan bahawa perisian hasad boleh melaksanakan perintah PowerShell pada hos, membolehkannya melakukan pelbagai tindakan berbahaya.

Penjenayah Siber Menggunakan Tapak Palsu Meniru Alat Yang Sah

Hunters International telah menerima pakai strategi baharu menggunakan tapak web yang meniru alat pengimbasan rangkaian sumber terbuka yang sah untuk menyasarkan profesional IT, bertujuan untuk melanggar akaun dengan keistimewaan yang tinggi.

Pengguna harus berhati-hati dengan hasil carian yang ditaja untuk mengelakkan malvertising, menggunakan penyekat iklan untuk menghalang hasil carian ini daripada dipaparkan dan menanda halaman tapak projek rasmi yang terkenal kerana menyediakan pemasang yang selamat. Untuk melemahkan kesan serangan perisian tebusan, laksanakan pelan sandaran yang mantap, amalkan pembahagian rangkaian dan pastikan semua perisian dikemas kini untuk meminimumkan peluang peningkatan keistimewaan dan pergerakan sisi.