షార్ప్ రైనో RAT

Hunters International Ransomware సమూహం IT ఉద్యోగులను లక్ష్యంగా చేసుకుని కార్పొరేట్ నెట్‌వర్క్‌లలోకి చొరబడేందుకు SharpRhino పేరుతో కొత్త C# రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)ని అభివృద్ధి చేసింది. ఈ మాల్వేర్ ప్రారంభ ఇన్ఫెక్షన్, రాజీపడిన సిస్టమ్‌లపై ప్రత్యేకాధికారాలను పెంచడం, పవర్‌షెల్ ఆదేశాలను అమలు చేయడం మరియు చివరికి ransomware యొక్క విస్తరణను సులభతరం చేస్తుంది.

IT నిపుణులు ఉపయోగించే ప్రముఖ నెట్‌వర్కింగ్ సాధనం యాంగ్రీ IP స్కానర్ వెబ్‌సైట్‌ను అనుకరించే టైపోస్క్వాటింగ్ సైట్ ద్వారా మాల్వేర్ వ్యాప్తి చెందుతుందని సైబర్‌ సెక్యూరిటీ పరిశోధకులు గుర్తించారు.

మునుపటి సైబర్ క్రైమ్ గ్రూప్ యొక్క సాధ్యమైన రీబ్రాండ్

హంటర్స్ ఇంటర్నేషనల్ , 2023 చివరలో ప్రారంభించబడిన ransomware ఆపరేషన్, వారి కోడ్‌లోని సారూప్యతల కారణంగా హైవ్‌కి రీబ్రాండ్‌గా అనుమానించబడింది. దాని గుర్తించదగిన బాధితులలో ఆస్టల్ USA, US నేవీ కాంట్రాక్టర్, జపనీస్ ఆప్టిక్స్ దిగ్గజం హోయా, ఇంటెగ్రిస్ హెల్త్ మరియు ఫ్రెడ్ హచ్ క్యాన్సర్ సెంటర్, నైతిక సరిహద్దుల పట్ల సమూహం యొక్క విస్మరణను హైలైట్ చేస్తుంది.

2024లో, గ్రూప్ ప్రపంచవ్యాప్తంగా సంస్థలపై 134 ransomware దాడులకు బాధ్యత వహించింది (CIS ప్రాంతంలోని వాటిని మినహాయించి), ఈ సంవత్సరం ఇది పదవ అత్యంత క్రియాశీల ransomware సమూహంగా నిలిచింది.

SharpRhino RAT ఎలా పనిచేస్తుంది?

SharpRhino ఒక డిజిటల్ సంతకం చేయబడిన 32-బిట్ ఇన్‌స్టాలర్ ('ipscan-3.9.1-setup.exe') వలె పంపిణీ చేయబడింది, ఇందులో ఇన్‌ఫెక్షన్ ప్రక్రియకు అవసరమైన అదనపు ఫైల్‌లను కలిగి ఉన్న స్వీయ-సంగ్రహణ, పాస్‌వర్డ్-రక్షిత 7z ఆర్కైవ్ ఉంటుంది. ఇన్‌స్టాల్ చేసిన తర్వాత, సాఫ్ట్‌వేర్ నిలకడ కోసం Windows రిజిస్ట్రీని మారుస్తుంది మరియు Microsoft.AnyKey.exeకి సత్వరమార్గాన్ని సృష్టిస్తుంది, ఈ సందర్భంలో దుర్వినియోగం చేయబడిన Microsoft Visual Studio బైనరీ.

ఇన్‌స్టాలర్ 'LogUpdate.bat'ని కూడా డ్రాప్ చేస్తుంది, ఇది C# కోడ్‌ను మెమరీలోకి కంపైల్ చేయడానికి పరికరంలో పవర్‌షెల్ స్క్రిప్ట్‌లను అమలు చేస్తుంది, ఇది రహస్య మాల్వేర్ అమలును అనుమతిస్తుంది. రిడెండెన్సీ కోసం, ఇన్‌స్టాలర్ రెండు డైరెక్టరీలను సృష్టిస్తుంది: 'C:\ProgramData\Microsoft: WindowsUpdater24' మరియు 'LogUpdateWindows,' రెండూ కమాండ్ మరియు కంట్రోల్ (C2) కమ్యూనికేషన్ కోసం ఉపయోగించబడతాయి.

మాల్వేర్ రెండు హార్డ్‌కోడ్ ఆదేశాలను కలిగి ఉంది: 'ఆలస్యం,' ఇది కమాండ్‌ను తిరిగి పొందడానికి తదుపరి POST అభ్యర్థన కోసం టైమర్‌ను సెట్ చేస్తుంది మరియు 'నిష్క్రమణ,' దాని కమ్యూనికేషన్‌ను ముగించింది. మాల్వేర్ హోస్ట్‌లో పవర్‌షెల్ ఆదేశాలను అమలు చేయగలదని విశ్లేషణ వెల్లడిస్తుంది, ఇది వివిధ హానికరమైన చర్యలను చేయడానికి అనుమతిస్తుంది.

సైబర్ నేరస్థులు చట్టబద్ధమైన సాధనాలను అనుకరిస్తూ నకిలీ సైట్‌లను ఉపయోగిస్తారు

హంటర్స్ ఇంటర్నేషనల్ IT నిపుణులను లక్ష్యంగా చేసుకోవడానికి చట్టబద్ధమైన ఓపెన్-సోర్స్ నెట్‌వర్క్ స్కానింగ్ సాధనాలను అనుకరించే వెబ్‌సైట్‌లను ఉపయోగించే కొత్త వ్యూహాన్ని అనుసరించింది, అధిక అధికారాలతో ఖాతాలను ఉల్లంఘించే లక్ష్యంతో ఉంది.

వినియోగదారులు మాల్వర్టైజింగ్‌ను నివారించడానికి ప్రాయోజిత శోధన ఫలితాల పట్ల జాగ్రత్తగా ఉండాలి, ఈ ఫలితాలు కనిపించకుండా నిరోధించడానికి ప్రకటన బ్లాకర్లను ఉపయోగించండి మరియు సురక్షిత ఇన్‌స్టాలర్‌లను అందించడానికి ప్రసిద్ధి చెందిన అధికారిక ప్రాజెక్ట్ సైట్‌లను బుక్‌మార్క్ చేయండి. ransomware దాడుల ప్రభావాన్ని బలహీనపరచడానికి, పటిష్టమైన బ్యాకప్ ప్లాన్‌ను అమలు చేయండి, నెట్‌వర్క్ విభజనను ప్రాక్టీస్ చేయండి మరియు ప్రివిలేజ్ ఎస్కలేషన్ మరియు పార్శ్వ కదలికల అవకాశాలను తగ్గించడానికి అన్ని సాఫ్ట్‌వేర్‌లను తాజాగా ఉంచండి.