ஷார்ப் ரினோ RAT
ஹன்டர்ஸ் இன்டர்நேஷனல் ரான்சம்வேர் குழுவானது, IT ஊழியர்களை குறிவைத்து கார்ப்பரேட் நெட்வொர்க்குகளுக்குள் ஊடுருவுவதற்காக SharpRhino என்ற புதிய C# Remote Access Trojan (RAT) ஐ உருவாக்கியுள்ளது. இந்த தீம்பொருள் ஆரம்ப தொற்று, சமரசம் செய்யப்பட்ட கணினிகளில் சிறப்புரிமை அதிகரிப்பு, பவர்ஷெல் கட்டளைகளை செயல்படுத்துதல் மற்றும் இறுதியில் ransomware வரிசைப்படுத்துதல் ஆகியவற்றை எளிதாக்குகிறது.
தகவல் தொழில்நுட்ப வல்லுநர்கள் பயன்படுத்தும் பிரபலமான நெட்வொர்க்கிங் கருவியான Angry IP Scanner இன் இணையதளத்தைப் பிரதிபலிக்கும் டைபோஸ்குவாட்டிங் தளத்தின் மூலம் தீம்பொருள் பரவுவதாக சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர்.
பொருளடக்கம்
முந்தைய சைபர் கிரைம் குழுவின் சாத்தியமான மறுபெயரிடுதல்
ஹன்டர்ஸ் இன்டர்நேஷனல் , 2023 இன் பிற்பகுதியில் தொடங்கப்பட்ட ransomware செயல்பாடு, அவற்றின் குறியீட்டில் உள்ள ஒற்றுமைகள் காரணமாக ஹைவின் மறுபெயரிடப்பட்டதாக சந்தேகிக்கப்படுகிறது. அதன் குறிப்பிடத்தக்க பாதிக்கப்பட்டவர்களில் ஆஸ்டல் யுஎஸ்ஏ, ஒரு அமெரிக்க கடற்படை ஒப்பந்தக்காரர், ஜப்பானிய ஒளியியல் நிறுவனமான ஹோயா, இன்டெக்ரிஸ் ஹெல்த் மற்றும் பிரெட் ஹட்ச் புற்றுநோய் மையம் ஆகியவை குழுவின் நெறிமுறை எல்லைகளை புறக்கணிப்பதை எடுத்துக்காட்டுகின்றன.
2024 ஆம் ஆண்டில், உலகம் முழுவதும் (சிஐஎஸ் பிராந்தியத்தில் உள்ளவற்றைத் தவிர்த்து) 134 ransomware தாக்குதல்களுக்கு குழு பொறுப்பேற்றது, இது இந்த ஆண்டில் பத்தாவது மிகவும் செயலில் உள்ள ransomware குழுவாக அமைந்தது.
SharpRhino RAT எவ்வாறு செயல்படுகிறது?
SharpRhino டிஜிட்டல் கையொப்பமிடப்பட்ட 32-பிட் நிறுவியாக ('ipscan-3.9.1-setup.exe') விநியோகிக்கப்படுகிறது, இதில் தொற்று செயல்முறைக்குத் தேவையான கூடுதல் கோப்புகளைக் கொண்ட சுய-பிரித்தெடுக்கும், கடவுச்சொல்-பாதுகாக்கப்பட்ட 7z காப்பகமும் அடங்கும். நிறுவியவுடன், மென்பொருள் விண்டோஸ் பதிவேட்டை நிலைத்தன்மைக்காக மாற்றுகிறது மற்றும் மைக்ரோசாஃப்ட் விஷுவல் ஸ்டுடியோ பைனரியான Microsoft.AnyKey.exeக்கு குறுக்குவழியை உருவாக்குகிறது, இது இந்த சூழலில் தவறாகப் பயன்படுத்தப்படுகிறது.
நிறுவி 'LogUpdate.bat' ஐயும் கைவிடுகிறது, இது C# குறியீட்டை நினைவகத்தில் தொகுக்க சாதனத்தில் PowerShell ஸ்கிரிப்ட்களை இயக்குகிறது, இது திருட்டுத்தனமான தீம்பொருள் செயல்படுத்தலை செயல்படுத்துகிறது. பணிநீக்கத்திற்காக, நிறுவி இரண்டு கோப்பகங்களை உருவாக்குகிறது: 'C:\ProgramData\Microsoft: WindowsUpdater24' மற்றும் 'LogUpdateWindows,' இவை இரண்டும் கட்டளை மற்றும் கட்டுப்பாடு (C2) தொடர்புக்கு பயன்படுத்தப்படுகின்றன.
தீம்பொருளுக்கு இரண்டு ஹார்டுகோட் கட்டளைகள் உள்ளன: 'தாமதம்,' ஒரு கட்டளையை மீட்டெடுப்பதற்கான அடுத்த POST கோரிக்கைக்கான டைமரை அமைக்கிறது, மற்றும் 'வெளியேறு,' அதன் தொடர்பை நிறுத்துகிறது. மால்வேர் பவர்ஷெல் கட்டளைகளை ஹோஸ்டில் செயல்படுத்த முடியும் என்பதை பகுப்பாய்வு வெளிப்படுத்துகிறது, இது பல்வேறு தீங்கு விளைவிக்கும் செயல்களைச் செய்ய அனுமதிக்கிறது.
சைபர் குற்றவாளிகள் முறையான கருவிகளைப் பின்பற்றி போலி தளங்களைப் பயன்படுத்துகின்றனர்
ஹண்டர்ஸ் இன்டர்நேஷனல், ஐடி நிபுணர்களை இலக்காகக் கொண்டு, உயர்ந்த சலுகைகளுடன் கணக்குகளை மீறுவதை நோக்கமாகக் கொண்டு, முறையான திறந்த மூல நெட்வொர்க் ஸ்கேனிங் கருவிகளைப் பிரதிபலிக்கும் வலைத்தளங்களைப் பயன்படுத்தும் புதிய உத்தியை ஏற்றுக்கொண்டது.
தவறான விளம்பரத்தைத் தவிர்க்க, விளம்பரத் தடுப்பான்களைப் பயன்படுத்தி, இந்த முடிவுகள் தோன்றுவதைத் தடுக்க, மற்றும் பாதுகாப்பான நிறுவிகளை வழங்குவதற்காக அறியப்பட்ட அதிகாரப்பூர்வ திட்டத் தளங்களை புக்மார்க் செய்ய, ஸ்பான்சர் செய்யப்பட்ட தேடல் முடிவுகளில் பயனர்கள் எச்சரிக்கையாக இருக்க வேண்டும். ransomware தாக்குதல்களின் தாக்கத்தை வலுவிழக்கச் செய்ய, ஒரு வலுவான காப்புப் பிரதித் திட்டத்தைச் செயல்படுத்தவும், நெட்வொர்க் பிரிவினைப் பயிற்சி செய்யவும், மேலும் சிறப்புரிமை அதிகரிப்பு மற்றும் பக்கவாட்டு இயக்கத்திற்கான வாய்ப்புகளைக் குறைக்க அனைத்து மென்பொருட்களையும் புதுப்பித்த நிலையில் வைத்திருக்கவும்.
