RAT i mprehtë Rhino
Grupi Ndërkombëtar i Ransomware Hunters ka zhvilluar një Trojan të ri C# Remote Access (RAT) të quajtur SharpRhino për të synuar punonjësit e IT-së dhe për të infiltruar rrjetet e korporatave. Ky malware lehtëson infeksionin fillestar, përshkallëzimin e privilegjeve në sistemet e komprometuara, ekzekutimin e komandave të PowerShell dhe përfundimisht vendosjen e ransomware.
Studiuesit e sigurisë kibernetike kanë identifikuar se malware është duke u përhapur përmes një faqeje typosquatting që imiton faqen e internetit të Angry IP Scanner, një mjet rrjeti popullor i përdorur nga profesionistët e IT.
Tabela e Përmbajtjes
Riemërtimi i mundshëm i Grupit të mëparshëm të krimit kibernetik
Hunters International , një operacion ransomware i nisur në fund të vitit 2023, dyshohet të jetë një riemërtim i Hive për shkak të ngjashmërive në kodin e tyre. Ndër viktimat e saj të dukshme janë Austal USA, një kontraktor i Marinës së SHBA, gjigandi japonez i optikës Hoya, Integris Health dhe Qendra e Kancerit Fred Hutch, duke theksuar shpërfilljen e grupit për kufijtë etikë.
Në vitin 2024, grupi mori përgjegjësinë për 134 sulme ransomware ndaj organizatave në mbarë botën (duke përjashtuar ato në rajonin e CIS), duke e bërë atë grupin e dhjetë më aktiv të ransomware këtë vit.
Si funksionon RAT SharpRhino?
SharpRhino shpërndahet si një instalues 32-bitësh i nënshkruar në mënyrë dixhitale ('ipscan-3.9.1-setup.exe') që përfshin një arkiv 7z vetë-ekstraktues, të mbrojtur me fjalëkalim, që përmban skedarë shtesë të nevojshëm për procesin e infektimit. Pas instalimit, softueri ndryshon regjistrin e Windows për qëndrueshmëri dhe krijon një shkurtore për Microsoft.AnyKey.exe, një binar i Microsoft Visual Studio që keqpërdoret në këtë kontekst.
Instaluesi lëshon gjithashtu 'LogUpdate.bat', i cili ekzekuton skriptet PowerShell në pajisje për të përpiluar kodin C# në memorie, duke mundësuar ekzekutimin e fshehtë të malware. Për tepricë, instaluesi krijon dy drejtori: 'C:\ProgramData\Microsoft: WindowsUpdater24' dhe 'LogUpdateWindows', të cilat të dyja përdoren për komunikimin e komandës dhe kontrollit (C2).
Malware ka dy komanda të koduara: 'vonesa', e cila vendos kohëmatësin për kërkesën tjetër POST për të marrë një komandë dhe 'dalje', e cila përfundon komunikimin e tij. Analiza zbulon se malware mund të ekzekutojë komandat PowerShell në host, duke e lejuar atë të kryejë veprime të ndryshme të dëmshme.
Kriminelët kibernetikë përdorin faqe të rreme duke imituar mjete legjitime
Hunters International ka miratuar një strategji të re të përdorimit të faqeve të internetit që imitojnë mjete legjitime të skanimit të rrjetit me burim të hapur për të synuar profesionistët e IT-së, duke synuar të shkelin llogaritë me privilegje të larta.
Përdoruesit duhet të jenë të kujdesshëm ndaj rezultateve të kërkimit të sponsorizuara për të shmangur reklamat e gabuara, të përdorin bllokues reklamash për të parandaluar shfaqjen e këtyre rezultateve dhe të shënojnë faqet zyrtare të projekteve të njohura për ofrimin e instaluesve të sigurt. Për të dobësuar ndikimin e sulmeve të ransomware, zbatoni një plan të fuqishëm rezervë, praktikoni segmentimin e rrjetit dhe mbani të gjithë softuerin të përditësuar për të minimizuar mundësitë për përshkallëzimin e privilegjeve dhe lëvizjen anësore.
