SharpRhino RAT
Grupul Hunters International Ransomware a dezvoltat un nou troian C# pentru acces la distanță (RAT) numit SharpRhino pentru a viza angajații IT și a se infiltra în rețelele corporative. Acest malware facilitează infecția inițială, escaladarea privilegiilor pe sistemele compromise, execuția comenzilor PowerShell și, în cele din urmă, implementarea de ransomware.
Cercetătorii în domeniul securității cibernetice au identificat că malware-ul este răspândit printr-un site de tip typosquatting care imită site-ul Angry IP Scanner, un instrument de rețea popular folosit de profesioniștii IT.
Cuprins
Posibil rebrand al grupului de criminalitate cibernetică anterior
Hunters International , o operațiune de ransomware lansată la sfârșitul anului 2023, este suspectată a fi un rebrand al Hive din cauza asemănărilor în codul lor. Printre victimele sale notabile se numără Austal USA, un antreprenor al Marinei SUA, gigantul japonez al opticii Hoya, Integris Health și Fred Hutch Cancer Center, evidențiind nerespectarea de către grup a limitelor etice.
În 2024, grupul și-a revendicat responsabilitatea pentru 134 de atacuri ransomware asupra organizațiilor din întreaga lume (cu excepția celor din regiunea CSI), devenind al zecelea grup de ransomware cel mai activ din acest an.
Cum funcționează SharpRhino RAT?
SharpRhino este distribuit ca un program de instalare pe 32 de biți semnat digital („ipscan-3.9.1-setup.exe”) care include o arhivă 7z autoextractabilă, protejată prin parolă, care conține fișiere suplimentare necesare procesului de infecție. La instalare, software-ul modifică registrul Windows pentru persistență și creează o comandă rapidă către Microsoft.AnyKey.exe, un binar Microsoft Visual Studio care este utilizat greșit în acest context.
Programul de instalare elimină, de asemenea, „LogUpdate.bat”, care rulează scripturi PowerShell pe dispozitiv pentru a compila codul C# în memorie, permițând execuția ascunsă a malware-ului. Pentru redundanță, programul de instalare creează două directoare: „C:\ProgramData\Microsoft: WindowsUpdater24” și „LogUpdateWindows”, ambele fiind utilizate pentru comunicarea de comandă și control (C2).
Malware-ul are două comenzi codificate: „întârziere”, care setează temporizatorul pentru următoarea solicitare POST pentru a prelua o comandă și „ieșire”, care îi încheie comunicarea. Analiza arată că malware-ul poate executa comenzi PowerShell pe gazdă, permițându-i să efectueze diverse acțiuni dăunătoare.
Infractorii cibernetici folosesc site-uri false care imit instrumente legitime
Hunters International a adoptat o nouă strategie de utilizare a site-urilor web care imită instrumente legitime de scanare a rețelei open-source pentru a viza profesioniștii IT, cu scopul de a încălca conturile cu privilegii ridicate.
Utilizatorii ar trebui să fie atenți la rezultatele căutării sponsorizate pentru a evita publicitatea incorectă, să folosească blocare de anunțuri pentru a preveni apariția acestor rezultate și să marcheze site-urile oficiale ale proiectelor cunoscute pentru că oferă instalatori siguri. Pentru a slăbi impactul atacurilor ransomware, implementați un plan de backup robust, practicați segmentarea rețelei și mențineți tot software-ul la zi pentru a minimiza oportunitățile de escaladare a privilegiilor și deplasări laterale.
