SharpRhino RATTA
Hunters International Ransomware-gruppen har utvecklat en ny C# Remote Access Trojan (RAT) vid namn SharpRhino för att rikta in sig på IT-arbetare och infiltrera företagsnätverk. Denna skadliga programvara underlättar initial infektion, privilegieskalering på komprometterade system, exekvering av PowerShell-kommandon och i slutändan distributionen av ransomware.
Cybersäkerhetsforskare har identifierat att skadlig programvara sprids via en typosquatting-webbplats som efterliknar webbplatsen för Angry IP Scanner, ett populärt nätverksverktyg som används av IT-proffs.
Innehållsförteckning
Eventuellt ommärkning av tidigare cyberbrottsgrupp
The Hunters International , en ransomware-operation som lanserades i slutet av 2023, misstänks vara ett nytt varumärke av Hive på grund av likheter i deras kod. Bland dess anmärkningsvärda offer är Austal USA, en entreprenör från den amerikanska marinen, den japanska optikjätten Hoya, Integris Health och Fred Hutch Cancer Center, som lyfter fram gruppens ignorering av etiska gränser.
År 2024 tog gruppen på sig ansvaret för 134 ransomware-attacker mot organisationer över hela världen (exklusive de i CIS-regionen), vilket gör den till den tionde mest aktiva ransomware-gruppen i år.
Hur fungerar SharpRhino RAT?
SharpRhino distribueras som ett digitalt signerat 32-bitars installationsprogram ('ipscan-3.9.1-setup.exe') som inkluderar ett självextraherande, lösenordsskyddat 7z-arkiv som innehåller ytterligare filer som behövs för infektionsprocessen. Vid installationen ändrar programvaran Windows-registret för beständighet och skapar en genväg till Microsoft.AnyKey.exe, en Microsoft Visual Studio-binär som missbrukas i detta sammanhang.
Installationsprogrammet släpper också "LogUpdate.bat", som kör PowerShell-skript på enheten för att kompilera C#-kod i minnet, vilket möjliggör smygkörning av skadlig programvara. För redundans skapar installationsprogrammet två kataloger: 'C:\ProgramData\Microsoft: WindowsUpdater24' och 'LogUpdateWindows', som båda används för kommando- och kontrollkommunikation (C2).
Skadlig programvara har två hårdkodade kommandon: 'delay', som ställer in timern för nästa POST-begäran för att hämta ett kommando, och 'exit' som avslutar kommunikationen. Analys avslöjar att skadlig programvara kan köra PowerShell-kommandon på värden, vilket gör att den kan utföra olika skadliga åtgärder.
Cyberkriminella använder falska webbplatser som imiterar legitima verktyg
Hunters International har antagit en ny strategi för att använda webbplatser som efterliknar legitima nätverksskanningsverktyg med öppen källkod för att rikta in sig på IT-proffs, i syfte att bryta mot konton med förhöjda privilegier.
Användare bör vara försiktiga med sponsrade sökresultat för att undvika malvertising, använda annonsblockerare för att förhindra att dessa resultat visas och bokmärka officiella projektwebbplatser som är kända för att tillhandahålla säkra installatörer. För att försvaga effekten av ransomware-attacker, implementera en robust plan för säkerhetskopiering, öva nätverkssegmentering och hålla all programvara uppdaterad för att minimera möjligheterna till privilegieskalering och sidorörelse.
