OstryNosorożec SZCZUR
Grupa Hunters International Ransomware opracowała nowego trojana C# Remote Access (RAT) o nazwie SharpRhino, którego celem są pracownicy IT i infiltrowanie sieci korporacyjnych. To złośliwe oprogramowanie ułatwia początkową infekcję, eskalację uprawnień w zaatakowanych systemach, wykonywanie poleceń PowerShell i ostatecznie instalację oprogramowania ransomware.
Badacze zajmujący się cyberbezpieczeństwem odkryli, że złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem witryny typosquattingowej, która naśladuje witrynę Angry IP Scanner, popularnego narzędzia sieciowego używanego przez specjalistów IT.
Spis treści
Możliwy rebranding poprzedniej grupy ds. cyberprzestępczości
Podejrzewa się, że The Hunters International , operacja oprogramowania ransomware rozpoczęta pod koniec 2023 r., to rebranding Hive ze względu na podobieństwa w ich kodzie. Wśród jego znaczących ofiar są Austal USA, wykonawca marynarki wojennej Stanów Zjednoczonych, japoński gigant optyczny Hoya, Integris Health i Fred Hutch Cancer Center, co podkreśla lekceważenie przez tę grupę granic etycznych.
W 2024 r. grupa przyznała się do 134 ataków oprogramowania ransomware na organizacje na całym świecie (z wyjątkiem tych w regionie WNP), co czyni ją dziesiątą najbardziej aktywną grupą zajmującą się oprogramowaniem ransomware w tym roku.
Jak działa SharpRhino RAT?
SharpRhino jest rozpowszechniany jako podpisany cyfrowo 32-bitowy instalator („ipscan-3.9.1-setup.exe”) zawierający samorozpakowujące się, chronione hasłem archiwum 7z zawierające dodatkowe pliki niezbędne do procesu infekcji. Po instalacji oprogramowanie zmienia rejestr systemu Windows w celu zapewnienia trwałości i tworzy skrót do pliku Microsoft.AnyKey.exe, pliku binarnego programu Microsoft Visual Studio, który jest niewłaściwie używany w tym kontekście.
Instalator usuwa także plik „LogUpdate.bat”, który uruchamia na urządzeniu skrypty PowerShell w celu skompilowania kodu C# do pamięci, umożliwiając potajemne wykonanie złośliwego oprogramowania. W celu zapewnienia nadmiarowości instalator tworzy dwa katalogi: „C:\ProgramData\Microsoft: WindowsUpdater24” i „LogUpdateWindows”, oba wykorzystywane do komunikacji poleceń i kontroli (C2).
Szkodnik posiada dwa zakodowane na stałe polecenia: „delay”, które ustawia licznik czasu dla następnego żądania POST w celu pobrania polecenia, oraz „exit”, które kończy komunikację. Analiza pokazuje, że złośliwe oprogramowanie może wykonywać na hoście polecenia PowerShell, umożliwiając mu wykonywanie różnych szkodliwych działań.
Cyberprzestępcy korzystają z fałszywych witryn imitujących legalne narzędzia
Organizacja Hunters International przyjęła nową strategię polegającą na wykorzystywaniu witryn internetowych naśladujących legalne narzędzia do skanowania sieci typu open source w celu atakowania specjalistów IT w celu włamania się na konta o podwyższonych uprawnieniach.
Użytkownicy powinni zachować ostrożność w stosunku do sponsorowanych wyników wyszukiwania, aby uniknąć złośliwych reklam, używać programów blokujących reklamy, aby zapobiec wyświetlaniu tych wyników, oraz dodawać do zakładek oficjalne strony projektów znane z zapewniania bezpiecznych instalatorów. Aby osłabić wpływ ataków oprogramowania ransomware, należy wdrożyć solidny plan tworzenia kopii zapasowych, ćwiczyć segmentację sieci i aktualizować całe oprogramowanie, aby zminimalizować możliwość eskalacji uprawnień i przenoszenia bocznego.
