SharpRhino RAT
Skupina Hunters International Ransomware vyvinula nový trójsky kôň C# Remote Access Trojan (RAT) s názvom SharpRhino, aby sa zameral na IT pracovníkov a infiltroval podnikové siete. Tento malvér uľahčuje počiatočnú infekciu, eskaláciu privilégií na napadnutých systémoch, vykonávanie príkazov PowerShell a v konečnom dôsledku nasadenie ransomvéru.
Výskumníci v oblasti kybernetickej bezpečnosti zistili, že malvér sa šíri prostredníctvom preklepovej stránky, ktorá napodobňuje webovú stránku Angry IP Scanner, populárneho sieťového nástroja používaného IT profesionálmi.
Obsah
Možné preznačenie predchádzajúcej skupiny pre počítačovú kriminalitu
Hunters International , operácia ransomvéru spustená koncom roka 2023, je podozrivá z rebrandingu Hive kvôli podobnosti v ich kóde. Medzi jeho významné obete patrí Austal USA, dodávateľ amerického námorníctva, japonský optický gigant Hoya, Integris Health a Fred Hutch Cancer Center, čo poukazuje na ignorovanie etických hraníc skupiny.
V roku 2024 sa skupina prihlásila k zodpovednosti za 134 ransomvérových útokov na organizácie po celom svete (okrem tých v regióne SNŠ), čím sa tento rok stala desiatou najaktívnejšou ransomvérovou skupinou.
Ako funguje SharpRhino RAT?
SharpRhino je distribuovaný ako digitálne podpísaný 32-bitový inštalačný program ('ipscan-3.9.1-setup.exe'), ktorý obsahuje samorozbaľovací, heslom chránený 7z archív obsahujúci ďalšie súbory potrebné na proces infekcie. Softvér po inštalácii zmení register systému Windows tak, aby bol zachovaný, a vytvorí odkaz na Microsoft.AnyKey.exe, binárny súbor Microsoft Visual Studio, ktorý sa v tomto kontexte zneužíva.
Inštalačný program tiež zruší „LogUpdate.bat“, ktorý spúšťa skripty PowerShell na zariadení na kompiláciu kódu C# do pamäte, čo umožňuje utajené spustenie škodlivého softvéru. Kvôli redundancii inštalačný program vytvorí dva adresáre: 'C:\ProgramData\Microsoft: WindowsUpdater24' a 'LogUpdateWindows', pričom oba sa používajú na komunikáciu príkazov a riadenia (C2).
Malvér má dva pevne zakódované príkazy: 'oneskorenie', ktorý nastavuje časovač pre ďalšiu požiadavku POST na získanie príkazu, a 'exit', ktorý ukončuje komunikáciu. Analýza odhaľuje, že malvér môže vykonávať príkazy PowerShell na hostiteľovi, čo mu umožňuje vykonávať rôzne škodlivé akcie.
Kyberzločinci používajú falošné stránky napodobňujúce legitímne nástroje
The Hunters International prijala novú stratégiu používania webových stránok, ktoré napodobňujú legitímne nástroje na skenovanie siete s otvoreným zdrojovým kódom, s cieľom zamerať sa na IT profesionálov s cieľom narušiť účty so zvýšenými privilégiami.
Používatelia by si mali dávať pozor na sponzorované výsledky vyhľadávania, aby sa vyhli škodlivej inzercii, mali by používať blokátory reklám, aby sa tieto výsledky nezobrazovali, a pridať si do záložiek oficiálne stránky projektu, ktoré sú známe tým, že poskytujú bezpečné inštalačné programy. Ak chcete oslabiť dopad ransomvérových útokov, implementujte robustný plán zálohovania, precvičte si segmentáciu siete a udržujte všetok softvér aktuálny, aby ste minimalizovali príležitosti na eskaláciu privilégií a laterálny pohyb.
