SharpRhino RAT
Hunters International Ransomware समूहले IT कर्मचारीहरूलाई लक्षित गर्न र कर्पोरेट नेटवर्कहरूमा घुसपैठ गर्न SharpRhino नामको नयाँ C# रिमोट एक्सेस ट्रोजन (RAT) विकास गरेको छ। यो मालवेयरले प्रारम्भिक संक्रमण, सम्झौता प्रणालीहरूमा विशेषाधिकार वृद्धि, PowerShell आदेशहरूको कार्यान्वयन र अन्ततः ransomware को तैनाती सुविधा दिन्छ।
साइबरसुरक्षा अनुसन्धानकर्ताहरूले पहिचान गरेका छन् कि मालवेयर टाइपोस्क्वाटिंग साइट मार्फत फैलिएको छ जसले IT पेशेवरहरूले प्रयोग गर्ने लोकप्रिय नेटवर्किङ उपकरण एंग्री आईपी स्क्यानरको वेबसाइटको नक्कल गर्दछ।
सामग्रीको तालिका
अघिल्लो साइबर अपराध समूहको सम्भावित रिब्रान्ड
द हन्टर्स इन्टरनेशनल , 2023 को अन्तमा सुरु गरिएको एक ransomware अपरेसन, तिनीहरूको कोडमा समानताको कारण Hive को पुन: ब्रान्ड भएको आशंका गरिएको छ। यसका उल्लेखनीय पीडितहरूमध्ये अस्टल युएसए, अमेरिकी नौसेना ठेकेदार, जापानी अप्टिक्स जाइन्ट होया, इन्टिग्रिस हेल्थ, र फ्रेड हच क्यान्सर सेन्टर छन्, जसले नैतिक सीमाहरूको लागि समूहको बेवास्तालाई हाइलाइट गर्दछ।
2024 मा, समूहले विश्वव्यापी संगठनहरूमा 134 ransomware आक्रमणहरूको लागि जिम्मेवारी दावी गर्यो (CIS क्षेत्रका ती बाहेक), यसलाई यस वर्ष दशौं सबैभन्दा सक्रिय ransomware समूह बनाउँदै।
SharpRhino RAT ले कसरी काम गर्छ?
SharpRhino लाई डिजिटल रूपमा हस्ताक्षर गरिएको 32-बिट स्थापनाकर्ता ('ipscan-3.9.1-setup.exe') को रूपमा वितरण गरिएको छ जसमा संक्रमण प्रक्रियाको लागि आवश्यक अतिरिक्त फाइलहरू समावेश गर्ने सेल्फ-एक्सट्र्याक्ट, पासवर्ड-सुरक्षित 7z अभिलेख समावेश छ। स्थापना भएपछि, सफ्टवेयरले निरन्तरताको लागि विन्डोज रजिस्ट्रीलाई परिवर्तन गर्दछ र Microsoft.AnyKey.exe मा सर्टकट सिर्जना गर्दछ, एक Microsoft भिजुअल स्टुडियो बाइनरी जुन यस सन्दर्भमा दुरुपयोग गरिएको छ।
स्थापनाकर्ताले 'LogUpdate.bat' पनि छोड्छ, जसले C# कोडलाई मेमोरीमा कम्पाइल गर्न यन्त्रमा PowerShell स्क्रिप्टहरू चलाउँछ, चोरी मालवेयर कार्यान्वयनलाई सक्षम पार्दै। रिडन्डन्सीको लागि, स्थापनाकर्ताले दुई डाइरेक्टरीहरू सिर्जना गर्दछ: 'C:\ProgramData\Microsoft: WindowsUpdater24' र 'LogUpdateWindows,' जुन दुबै आदेश र नियन्त्रण (C2) संचारको लागि प्रयोग गरिन्छ।
मालवेयरसँग दुईवटा हार्डकोड गरिएका आदेशहरू छन्: 'ढिलाइ,' जसले आदेश पुन: प्राप्त गर्न अर्को POST अनुरोधको लागि टाइमर सेट गर्दछ, र 'निकास', जसले यसको सञ्चार समाप्त गर्छ। विश्लेषणले देखाउँछ कि मालवेयरले होस्टमा PowerShell आदेशहरू कार्यान्वयन गर्न सक्छ, यसले विभिन्न हानिकारक कार्यहरू गर्न अनुमति दिन्छ।
साइबर अपराधीहरूले वैध उपकरणहरूको नक्कल गर्दै नक्कली साइटहरू प्रयोग गर्छन्
Hunters International ले IT पेशेवरहरूलाई लक्षित गर्न वैध खुला स्रोत नेटवर्क स्क्यानिङ उपकरणहरूको नक्कल गर्ने वेबसाइटहरू प्रयोग गर्ने नयाँ रणनीति अपनाएको छ, उच्च विशेषाधिकारहरू भएका खाताहरू तोड्ने लक्ष्य राख्दै।
प्रयोगकर्ताहरूले खराबीबाट बच्नको लागि प्रायोजित खोज परिणामहरूबाट सतर्क हुनुपर्छ, यी परिणामहरू देखा पर्नबाट रोक्न विज्ञापन ब्लकरहरू प्रयोग गर्नुहोस्, र सुरक्षित स्थापनाकर्ताहरू प्रदान गर्नका लागि परिचित आधिकारिक परियोजना साइटहरू बुकमार्क गर्नुहोस्। ransomware आक्रमणहरूको प्रभावलाई कमजोर पार्न, बलियो ब्याकअप योजना लागू गर्नुहोस्, नेटवर्क विभाजन अभ्यास गर्नुहोस्, र विशेषाधिकार वृद्धि र पार्श्व आन्दोलनको अवसरहरू कम गर्न सबै सफ्टवेयरलाई अद्यावधिक राख्नुहोस्।
