Острая КРЫСА-Носорог
Группа Hunters International Ransomware разработала новый троян удаленного доступа C# (RAT) под названием SharpRhino, нацеленный на ИТ-специалистов и проникающий в корпоративные сети. Это вредоносное ПО облегчает первоначальное заражение, повышение привилегий на скомпрометированных системах, выполнение команд PowerShell и, в конечном итоге, внедрение программ-вымогателей.
Исследователи кибербезопасности установили, что вредоносное ПО распространяется через сайт опечаток, имитирующий веб-сайт Angry IP Scanner, популярного сетевого инструмента, используемого ИТ-специалистами.
Оглавление
Возможный ребрендинг предыдущей группы по борьбе с киберпреступностью
Предполагается, что Hunters International , операция по вымогательству, запущенная в конце 2023 года, является ребрендингом Hive из-за сходства их кода. Среди его заметных жертв - Austal USA, подрядчик ВМС США, японский оптический гигант Hoya, Integris Health и Онкологический центр Фреда Хатча, что подчеркивает пренебрежение группой этических границ.
В 2024 году группа взяла на себя ответственность за 134 атаки с использованием программ-вымогателей на организации по всему миру (за исключением стран СНГ), что сделало ее десятой по активности группой, занимающейся вымогательством в этом году.
Как работает SharpRhino RAT?
SharpRhino распространяется в виде 32-битного установщика с цифровой подписью («ipscan-3.9.1-setup.exe»), который включает в себя самораспаковывающийся, защищенный паролем архив 7z, содержащий дополнительные файлы, необходимые для процесса заражения. После установки программное обеспечение изменяет реестр Windows для обеспечения постоянного хранения и создает ярлык для Microsoft.AnyKey.exe, двоичного файла Microsoft Visual Studio, который используется не по назначению.
Установщик также удаляет файл LogUpdate.bat, который запускает на устройстве сценарии PowerShell для компиляции кода C# в память, обеспечивая скрытое выполнение вредоносного ПО. В целях резервирования программа установки создает два каталога: «C:\ProgramData\Microsoft: WindowsUpdater24» и «LogUpdateWindows», оба из которых используются для связи команд и элементов управления (C2).
Вредоносная программа имеет две жестко запрограммированные команды: «задержка», которая устанавливает таймер для следующего запроса POST для получения команды, и «выход», которая прекращает обмен данными. Анализ показывает, что вредоносное ПО может выполнять команды PowerShell на хосте, что позволяет ему выполнять различные вредоносные действия.
Киберпреступники используют поддельные сайты, имитирующие легальные инструменты
Hunters International приняла новую стратегию использования веб-сайтов, имитирующих законные инструменты сетевого сканирования с открытым исходным кодом, для нападения на ИТ-специалистов с целью взлома учетных записей с повышенными привилегиями.
Пользователям следует с осторожностью относиться к результатам спонсируемого поиска, чтобы избежать вредоносной рекламы, использовать блокировщики рекламы, чтобы предотвратить появление этих результатов, и добавлять в закладки официальные сайты проектов, известные своими безопасными установщиками. Чтобы ослабить воздействие атак программ-вымогателей, внедрите надежный план резервного копирования, практикуйте сегментацию сети и постоянно обновляйте все программное обеспечение, чтобы свести к минимуму возможности повышения привилегий и горизонтального перемещения.
