ਸ਼ਾਰਪ ਰਾਈਨੋ RAT
ਹੰਟਰਜ਼ ਇੰਟਰਨੈਸ਼ਨਲ ਰੈਨਸਮਵੇਅਰ ਗਰੁੱਪ ਨੇ ਆਈਟੀ ਵਰਕਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਅਤੇ ਕਾਰਪੋਰੇਟ ਨੈੱਟਵਰਕਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ ਸ਼ਾਰਪਰਾਇਨੋ ਨਾਮਕ ਇੱਕ ਨਵਾਂ C# ਰਿਮੋਟ ਐਕਸੈਸ ਟਰੋਜਨ (RAT) ਵਿਕਸਿਤ ਕੀਤਾ ਹੈ। ਇਹ ਮਾਲਵੇਅਰ ਸ਼ੁਰੂਆਤੀ ਲਾਗ, ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ, ਪਾਵਰਸ਼ੇਲ ਕਮਾਂਡਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਅਤੇ ਅੰਤ ਵਿੱਚ ਰੈਨਸਮਵੇਅਰ ਦੀ ਤਾਇਨਾਤੀ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ।
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਛਾਣ ਕੀਤੀ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਇੱਕ ਟਾਈਪੋਸਕੁਏਟਿੰਗ ਸਾਈਟ ਦੁਆਰਾ ਫੈਲਾਇਆ ਜਾ ਰਿਹਾ ਹੈ ਜੋ ਆਈਟੀ ਪੇਸ਼ੇਵਰਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਂਦੇ ਇੱਕ ਪ੍ਰਸਿੱਧ ਨੈਟਵਰਕਿੰਗ ਟੂਲ, ਐਂਗਰੀ ਆਈਪੀ ਸਕੈਨਰ ਦੀ ਵੈਬਸਾਈਟ ਦੀ ਨਕਲ ਕਰਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਪਿਛਲੇ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਗਰੁੱਪ ਦਾ ਸੰਭਾਵੀ ਰੀਬ੍ਰਾਂਡ
ਹੰਟਰਸ ਇੰਟਰਨੈਸ਼ਨਲ , 2023 ਦੇ ਅਖੀਰ ਵਿੱਚ ਸ਼ੁਰੂ ਕੀਤਾ ਗਿਆ ਇੱਕ ਰੈਨਸਮਵੇਅਰ ਆਪ੍ਰੇਸ਼ਨ, ਉਹਨਾਂ ਦੇ ਕੋਡ ਵਿੱਚ ਸਮਾਨਤਾਵਾਂ ਦੇ ਕਾਰਨ Hive ਦਾ ਰੀਬ੍ਰਾਂਡ ਹੋਣ ਦਾ ਸ਼ੱਕ ਹੈ। ਇਸਦੇ ਪ੍ਰਮੁੱਖ ਪੀੜਤਾਂ ਵਿੱਚ ਔਸਟਲ ਯੂਐਸਏ, ਇੱਕ ਯੂਐਸ ਨੇਵੀ ਠੇਕੇਦਾਰ, ਜਾਪਾਨੀ ਆਪਟਿਕਸ ਦਿੱਗਜ ਹੋਆ, ਇੰਟੀਗ੍ਰਿਸ ਹੈਲਥ, ਅਤੇ ਫਰੇਡ ਹਚ ਕੈਂਸਰ ਸੈਂਟਰ ਹਨ, ਜੋ ਕਿ ਸਮੂਹ ਦੀ ਨੈਤਿਕ ਸੀਮਾਵਾਂ ਦੀ ਅਣਦੇਖੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦੇ ਹਨ।
2024 ਵਿੱਚ, ਸਮੂਹ ਨੇ ਦੁਨੀਆ ਭਰ ਦੀਆਂ ਸੰਸਥਾਵਾਂ ਉੱਤੇ 134 ਰੈਨਸਮਵੇਅਰ ਹਮਲਿਆਂ ਦੀ ਜ਼ਿੰਮੇਵਾਰੀ ਲਈ (ਸੀਆਈਐਸ ਖੇਤਰ ਵਿੱਚ ਉਹਨਾਂ ਨੂੰ ਛੱਡ ਕੇ), ਇਸ ਸਾਲ ਇਸ ਨੂੰ ਦਸਵਾਂ ਸਭ ਤੋਂ ਸਰਗਰਮ ਰੈਨਸਮਵੇਅਰ ਸਮੂਹ ਬਣਾ ਦਿੱਤਾ।
SharpRhino RAT ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ?
SharpRhino ਨੂੰ ਡਿਜ਼ੀਟਲ ਤੌਰ 'ਤੇ ਦਸਤਖਤ ਕੀਤੇ 32-ਬਿੱਟ ਇੰਸਟੌਲਰ ('ipscan-3.9.1-setup.exe') ਦੇ ਰੂਪ ਵਿੱਚ ਵੰਡਿਆ ਗਿਆ ਹੈ ਜਿਸ ਵਿੱਚ ਇੱਕ ਸਵੈ-ਐਕਸਟਰੈਕਟਿੰਗ, ਪਾਸਵਰਡ-ਸੁਰੱਖਿਅਤ 7z ਆਰਕਾਈਵ ਸ਼ਾਮਲ ਹੈ ਜਿਸ ਵਿੱਚ ਲਾਗ ਪ੍ਰਕਿਰਿਆ ਲਈ ਲੋੜੀਂਦੀਆਂ ਵਾਧੂ ਫਾਈਲਾਂ ਹਨ। ਇੰਸਟਾਲੇਸ਼ਨ 'ਤੇ, ਸੌਫਟਵੇਅਰ ਨਿਰੰਤਰਤਾ ਲਈ ਵਿੰਡੋਜ਼ ਰਜਿਸਟਰੀ ਨੂੰ ਬਦਲਦਾ ਹੈ ਅਤੇ Microsoft.AnyKey.exe ਲਈ ਇੱਕ ਸ਼ਾਰਟਕੱਟ ਬਣਾਉਂਦਾ ਹੈ, ਇੱਕ Microsoft ਵਿਜ਼ੁਅਲ ਸਟੂਡੀਓ ਬਾਈਨਰੀ ਜੋ ਇਸ ਸੰਦਰਭ ਵਿੱਚ ਦੁਰਵਰਤੋਂ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਇੰਸਟੌਲਰ 'LogUpdate.bat' ਨੂੰ ਵੀ ਛੱਡਦਾ ਹੈ, ਜੋ ਕਿ ਮੈਮੋਰੀ ਵਿੱਚ C# ਕੋਡ ਨੂੰ ਕੰਪਾਇਲ ਕਰਨ ਲਈ ਡਿਵਾਈਸ ਉੱਤੇ PowerShell ਸਕ੍ਰਿਪਟਾਂ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ, ਚੋਰੀ ਮਾਲਵੇਅਰ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਂਦਾ ਹੈ। ਰਿਡੰਡੈਂਸੀ ਲਈ, ਇੰਸਟੌਲਰ ਦੋ ਡਾਇਰੈਕਟਰੀਆਂ ਬਣਾਉਂਦਾ ਹੈ: 'C:\ProgramData\Microsoft: WindowsUpdater24' ਅਤੇ 'LogUpdateWindows,' ਜਿਨ੍ਹਾਂ ਦੀ ਵਰਤੋਂ ਕਮਾਂਡ ਅਤੇ ਕੰਟਰੋਲ (C2) ਸੰਚਾਰ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ।
ਮਾਲਵੇਅਰ ਦੀਆਂ ਦੋ ਹਾਰਡਕੋਡ ਕੀਤੀਆਂ ਕਮਾਂਡਾਂ ਹਨ: 'ਦੇਰੀ', ਜੋ ਕਮਾਂਡ ਮੁੜ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਅਗਲੀ POST ਬੇਨਤੀ ਲਈ ਟਾਈਮਰ ਸੈਟ ਕਰਦੀ ਹੈ, ਅਤੇ 'ਐਗਜ਼ਿਟ', ਜੋ ਇਸਦਾ ਸੰਚਾਰ ਬੰਦ ਕਰ ਦਿੰਦੀ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਪਤਾ ਲੱਗਦਾ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਹੋਸਟ 'ਤੇ PowerShell ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਕਈ ਨੁਕਸਾਨਦੇਹ ਕਾਰਵਾਈਆਂ ਕਰ ਸਕਦਾ ਹੈ।
ਸਾਈਬਰ ਅਪਰਾਧੀ ਜਾਇਜ਼ ਸਾਧਨਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹੋਏ ਜਾਅਲੀ ਸਾਈਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ
ਹੰਟਰਸ ਇੰਟਰਨੈਸ਼ਨਲ ਨੇ ਵੈਬਸਾਈਟਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨ ਦੀ ਇੱਕ ਨਵੀਂ ਰਣਨੀਤੀ ਅਪਣਾਈ ਹੈ ਜੋ IT ਪੇਸ਼ੇਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਜਾਇਜ਼ ਓਪਨ-ਸੋਰਸ ਨੈਟਵਰਕ ਸਕੈਨਿੰਗ ਟੂਲਸ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ, ਉੱਚਿਤ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਵਾਲੇ ਖਾਤਿਆਂ ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਦਾ ਉਦੇਸ਼ ਰੱਖਦੇ ਹਨ।
ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਵਿਗਾੜ ਤੋਂ ਬਚਣ ਲਈ ਸਪਾਂਸਰ ਕੀਤੇ ਖੋਜ ਨਤੀਜਿਆਂ ਤੋਂ ਸਾਵਧਾਨ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ, ਇਹਨਾਂ ਨਤੀਜਿਆਂ ਨੂੰ ਦਿਖਾਈ ਦੇਣ ਤੋਂ ਰੋਕਣ ਲਈ ਵਿਗਿਆਪਨ ਬਲੌਕਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ, ਅਤੇ ਸੁਰੱਖਿਅਤ ਸਥਾਪਕ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਜਾਣੀਆਂ ਜਾਂਦੀਆਂ ਅਧਿਕਾਰਤ ਪ੍ਰੋਜੈਕਟ ਸਾਈਟਾਂ ਨੂੰ ਬੁੱਕਮਾਰਕ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਰੈਨਸਮਵੇਅਰ ਹਮਲਿਆਂ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ ਕਮਜ਼ੋਰ ਕਰਨ ਲਈ, ਇੱਕ ਮਜਬੂਤ ਬੈਕਅਪ ਯੋਜਨਾ ਲਾਗੂ ਕਰੋ, ਨੈਟਵਰਕ ਸੈਗਮੈਂਟੇਸ਼ਨ ਦਾ ਅਭਿਆਸ ਕਰੋ, ਅਤੇ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰ ਵਧਾਉਣ ਅਤੇ ਪਾਸੇ ਦੀ ਗਤੀ ਦੇ ਮੌਕਿਆਂ ਨੂੰ ਘੱਟ ਕਰਨ ਲਈ ਸਾਰੇ ਸੌਫਟਵੇਅਰ ਨੂੰ ਅਪ ਟੂ ਡੇਟ ਰੱਖੋ।
