SharpRhino RATTE
Hunters International Ransomware-gruppen har utviklet en ny C# Remote Access Trojan (RAT) kalt SharpRhino for å målrette IT-arbeidere og infiltrere bedriftsnettverk. Denne skadevaren letter innledende infeksjon, rettighetsøkning på kompromitterte systemer, kjøring av PowerShell-kommandoer og til slutt distribusjon av løsepengeprogramvare.
Cybersikkerhetsforskere har identifisert at skadelig programvare spres gjennom et skrivefeilnettsted som etterligner nettstedet til Angry IP Scanner, et populært nettverksverktøy som brukes av IT-fagfolk.
Innholdsfortegnelse
Mulig rebrand for Previous Cybercrime Group
The Hunters International , en løsepengevare-operasjon som ble lansert i slutten av 2023, mistenkes for å være en rebrand av Hive på grunn av likheter i koden deres. Blant de bemerkelsesverdige ofrene er Austal USA, en amerikansk marinekontraktør, den japanske optikkgiganten Hoya, Integris Health og Fred Hutch Cancer Center, som fremhever gruppens ignorering av etiske grenser.
I 2024 tok gruppen på seg ansvaret for 134 løsepengevare-angrep mot organisasjoner over hele verden (unntatt de i CIS-regionen), noe som gjør den til den tiende mest aktive løsepengevaregruppen i år.
Hvordan fungerer SharpRhino RAT?
SharpRhino distribueres som et digitalt signert 32-biters installasjonsprogram ('ipscan-3.9.1-setup.exe') som inkluderer et selvutpakkende, passordbeskyttet 7z-arkiv som inneholder tilleggsfiler som er nødvendige for infeksjonsprosessen. Ved installering endrer programvaren Windows-registret for å holde seg og lager en snarvei til Microsoft.AnyKey.exe, en Microsoft Visual Studio-binærfil som misbrukes i denne sammenhengen.
Installasjonsprogrammet slipper også "LogUpdate.bat", som kjører PowerShell-skript på enheten for å kompilere C#-kode i minnet, noe som muliggjør snikende kjøring av skadelig programvare. For redundans oppretter installasjonsprogrammet to kataloger: 'C:\ProgramData\Microsoft: WindowsUpdater24' og 'LogUpdateWindows', som begge brukes for kommando og kontroll (C2) kommunikasjon.
Skadevaren har to hardkodede kommandoer: «delay», som setter tidtakeren for neste POST-forespørsel for å hente en kommando, og «exit» som avslutter kommunikasjonen. Analyse avslører at skadelig programvare kan utføre PowerShell-kommandoer på verten, slik at den kan utføre ulike skadelige handlinger.
Nettkriminelle bruker falske nettsteder som imiterer legitime verktøy
Hunters International har tatt i bruk en ny strategi for å bruke nettsteder som etterligner legitime nettverksskanneverktøy med åpen kildekode for å målrette IT-profesjonelle, med sikte på å bryte kontoer med forhøyede rettigheter.
Brukere bør være forsiktige med sponsede søkeresultater for å unngå malvertising, bruke annonseblokkere for å forhindre at disse resultatene vises, og bokmerke offisielle prosjektnettsteder kjent for å tilby trygge installatører. For å svekke virkningen av ransomware-angrep, implementer en robust sikkerhetskopiplan, øv på nettverkssegmentering og hold all programvare oppdatert for å minimere mulighetene for rettighetseskalering og sideveis bevegelse.
