СхарпРхино РАТ
Хунтерс Интернатионал Рансомваре група је развила нови Ц# тројанац за даљински приступ (РАТ) под називом СхарпРхино за циљање ИТ радника и инфилтрирање у корпоративне мреже. Овај малвер олакшава почетну инфекцију, ескалацију привилегија на компромитованим системима, извршавање ПоверСхелл команди и на крају примену рансомваре-а.
Истраживачи сајбер-безбедности су идентификовали да се малвер шири преко сајта за штампање који опонаша веб локацију Ангри ИП Сцаннер, популарног мрежног алата који користе ИТ професионалци.
Преглед садржаја
Могућа промена бренда претходне групе за сајбер криминал
Хунтерс Интернатионал , операција рансомваре-а покренута крајем 2023. године, сумња се да је ребрендирање Хиве-а због сличности у њиховом коду. Међу његовим значајним жртвама су Аустал УСА, извођач радова америчке морнарице, јапански оптички гигант Хоиа, Интегрис Хеалтх и Центар за рак Фред Хутцх, наглашавајући непоштовање етичких граница од стране групе.
Група је 2024. године преузела одговорност за 134 напада рансомвера на организације широм света (искључујући оне у региону ЗНД), што је чини десетом најактивнијом групом рансомвера ове године.
Како функционише СхарпРхино РАТ?
СхарпРхино се дистрибуира као дигитално потписан 32-битни инсталатер ('ипсцан-3.9.1-сетуп.еке') који укључује самораспакујућу, лозинком заштићену 7з архиву која садржи додатне датотеке неопходне за процес инфекције. Након инсталације, софтвер мења Виндовс регистар ради постојаности и креира пречицу до Мицрософт.АниКеи.еке, бинарног програма Мицрософт Висуал Студио који се злоупотребљава у овом контексту.
Инсталатер такође испушта „ЛогУпдате.бат“, који покреће ПоверСхелл скрипте на уређају да компајлира Ц# код у меморију, омогућавајући прикривено извршавање малвера. За редундантност, инсталатер креира два директоријума: 'Ц:\ПрограмДата\Мицрософт: ВиндовсУпдатер24' и 'ЛогУпдатеВиндовс', а оба се користе за командну и контролну (Ц2) комуникацију.
Злонамерни софтвер има две чврсто кодиране команде: 'делаи', која поставља тајмер за следећи ПОСТ захтев за преузимање команде, и 'екит', која прекида његову комуникацију. Анализа открива да злонамерни софтвер може да изврши ПоверСхелл команде на хосту, омогућавајући му да изврши разне штетне радње.
Сајбер криминалци користе лажне сајтове имитирајући легалне алате
Хунтерс Интернатионал је усвојио нову стратегију коришћења веб локација које опонашају легитимне алате за мрежно скенирање отвореног кода за циљање ИТ професионалаца, са циљем да провале налоге са повишеним привилегијама.
Корисници би требало да буду опрезни са спонзорисаним резултатима претраге како би избегли злонамерно оглашавање, да користе блокаторе огласа да би спречили појављивање ових резултата и да обележе званичне сајтове пројекта познати по томе што пружају безбедне инсталатере. Да бисте ослабили утицај напада на рансомвер, примените робустан план резервне копије, вежбајте сегментацију мреже и одржавајте сав софтвер ажурним да бисте свели на минимум могућности за ескалацију привилегија и бочно кретање.
