SharpRhino RAT
Skupina Hunters International Ransomware je razvila nov trojanec C# za oddaljeni dostop (RAT) z imenom SharpRhino, ki cilja na delavce IT in se infiltrira v omrežja podjetij. Ta zlonamerna programska oprema olajša začetno okužbo, stopnjevanje privilegijev na ogroženih sistemih, izvajanje ukazov lupine PowerShell in na koncu uvedbo izsiljevalske programske opreme.
Raziskovalci kibernetske varnosti so ugotovili, da se zlonamerna programska oprema širi prek spletnega mesta za skvotiranje, ki posnema spletno mesto Angry IP Scanner, priljubljenega omrežnega orodja, ki ga uporabljajo strokovnjaki za IT.
Kazalo
Možna preimenovanje prejšnje skupine za kibernetski kriminal
The Hunters International , operacija izsiljevalske programske opreme, ki se je začela konec leta 2023, naj bi bila preimenovanje Hive zaradi podobnosti v njihovi kodi. Med njegovimi pomembnimi žrtvami so Austal USA, izvajalec ameriške mornarice, japonski optični velikan Hoya, Integris Health in Fred Hutch Cancer Center, kar kaže na neupoštevanje etičnih meja skupine.
Leta 2024 je skupina prevzela odgovornost za 134 napadov z izsiljevalsko programsko opremo na organizacije po vsem svetu (razen tistih v regiji CIS), zaradi česar je letos deseta najbolj aktivna skupina z izsiljevalsko programsko opremo.
Kako deluje SharpRhino RAT?
SharpRhino se distribuira kot digitalno podpisan 32-bitni namestitveni program ('ipscan-3.9.1-setup.exe'), ki vključuje samoraztegljiv, z geslom zaščiten arhiv 7z, ki vsebuje dodatne datoteke, potrebne za proces okužbe. Po namestitvi programska oprema spremeni register sistema Windows za obstojnost in ustvari bližnjico do Microsoft.AnyKey.exe, dvojiške datoteke Microsoft Visual Studio, ki se zlorablja v tem kontekstu.
Namestitveni program spusti tudi »LogUpdate.bat«, ki izvaja skripte PowerShell v napravi za prevajanje kode C# v pomnilnik, kar omogoča prikrito izvajanje zlonamerne programske opreme. Za redundanco namestitveni program ustvari dva imenika: 'C:\ProgramData\Microsoft: WindowsUpdater24' in 'LogUpdateWindows', oba pa se uporabljata za komunikacijo ukazov in nadzora (C2).
Zlonamerna programska oprema ima dva trdo kodirana ukaza: »zakasnitev«, ki nastavi časovnik za naslednjo zahtevo POST za pridobitev ukaza, in »izhod«, ki prekine komunikacijo. Analiza razkriva, da lahko zlonamerna programska oprema izvaja ukaze PowerShell na gostitelju, kar mu omogoča izvajanje različnih škodljivih dejanj.
Kibernetski kriminalci uporabljajo lažna spletna mesta, ki posnemajo zakonita orodja
Hunters International je sprejel novo strategijo uporabe spletnih mest, ki posnemajo zakonita odprtokodna orodja za pregledovanje omrežij, da ciljajo na strokovnjake za IT, s ciljem vdreti v račune s povišanimi privilegiji.
Uporabniki bi morali biti previdni pri sponzoriranih rezultatih iskanja, da bi se izognili zlonamernemu oglaševanju, uporabljati blokatorje oglasov, da preprečijo prikazovanje teh rezultatov, in označiti uradna spletna mesta projektov, ki so znana po zagotavljanju varnih namestitvenih programov. Če želite oslabiti vpliv napadov izsiljevalske programske opreme, implementirajte robusten varnostni načrt, izvajajte segmentacijo omrežja in posodabljajte vso programsko opremo, da zmanjšate možnosti za stopnjevanje privilegijev in stransko premikanje.
