SharpRhino RAT
De Hunters International Ransomware-groep heeft een nieuwe C# Remote Access Trojan (RAT) ontwikkeld, genaamd SharpRhino, om zich te richten op IT-werknemers en om bedrijfsnetwerken te infiltreren. Deze malware vergemakkelijkt de initiële infectie, de escalatie van bevoegdheden op aangetaste systemen, de uitvoering van PowerShell-opdrachten en uiteindelijk de inzet van ransomware.
Cybersecurity-onderzoekers hebben vastgesteld dat de malware wordt verspreid via een typosquatting-site die de website van Angry IP Scanner nabootst, een populaire netwerktool die door IT-professionals wordt gebruikt.
Inhoudsopgave
Mogelijke rebranding van de vorige Cybercrime Group
The Hunters International , een ransomware-operatie die eind 2023 werd gelanceerd, wordt verdacht een rebranding van Hive te zijn vanwege overeenkomsten in hun code. Onder de opmerkelijke slachtoffers bevinden zich Austal USA, een aannemer van de Amerikaanse marine, de Japanse optiekgigant Hoya, Integris Health en het Fred Hutch Cancer Center, wat de minachting van de groep voor ethische grenzen benadrukt.
In 2024 eiste de groep de verantwoordelijkheid op voor 134 ransomware-aanvallen op organisaties over de hele wereld (exclusief die in de GOS-regio), waarmee het dit jaar de tiende meest actieve ransomware-groep is.
Hoe werkt de SharpRhino RAT?
SharpRhino wordt gedistribueerd als een digitaal ondertekend 32-bits installatieprogramma ('ipscan-3.9.1-setup.exe') dat een zelfuitpakkend, met een wachtwoord beveiligd 7z-archief bevat met aanvullende bestanden die nodig zijn voor het infectieproces. Tijdens de installatie wijzigt de software het Windows-register voor persistentie en creëert een snelkoppeling naar Microsoft.AnyKey.exe, een Microsoft Visual Studio-binair bestand dat in deze context wordt misbruikt.
Het installatieprogramma verwijdert ook 'LogUpdate.bat', dat PowerShell-scripts op het apparaat uitvoert om C#-code in het geheugen te compileren, waardoor heimelijke uitvoering van malware mogelijk wordt. Voor redundantie maakt het installatieprogramma twee mappen aan: 'C:\ProgramData\Microsoft: WindowsUpdater24' en 'LogUpdateWindows', die beide worden gebruikt voor command and control (C2)-communicatie.
De malware heeft twee hardgecodeerde commando's: 'delay', waarmee de timer wordt ingesteld voor het volgende POST-verzoek om een commando op te halen, en 'exit', waarmee de communicatie wordt beëindigd. Uit analyse blijkt dat de malware PowerShell-opdrachten op de host kan uitvoeren, waardoor deze verschillende schadelijke acties kan uitvoeren.
Cybercriminelen gebruiken valse sites en imiteren legitieme tools
The Hunters International heeft een nieuwe strategie aangenomen door websites te gebruiken die legitieme open-source netwerkscantools nabootsen om zich te richten op IT-professionals, met als doel accounts met verhoogde rechten te hacken.
Gebruikers moeten voorzichtig zijn met gesponsorde zoekresultaten om malvertising te voorkomen, advertentieblokkers gebruiken om te voorkomen dat deze resultaten verschijnen en een bladwijzer maken voor officiële projectsites die bekend staan om hun veilige installatieprogramma's. Om de impact van ransomware-aanvallen te verzwakken, implementeert u een robuust back-upplan, oefent u netwerksegmentatie uit en houdt u alle software up-to-date om de kansen op escalatie van bevoegdheden en zijdelingse verplaatsing te minimaliseren.
