ชาร์ปแรด หนู
กลุ่ม Hunters International Ransomware ได้พัฒนา C# Remote Access Trojan (RAT) ใหม่ชื่อ SharpRhino เพื่อกำหนดเป้าหมายพนักงานไอทีและแทรกซึมเครือข่ายองค์กร มัลแวร์นี้อำนวยความสะดวกในการติดเชื้อครั้งแรก การเพิ่มสิทธิ์บนระบบที่ถูกบุกรุก การดำเนินการคำสั่ง PowerShell และการใช้งานแรนซัมแวร์ในท้ายที่สุด
นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุว่ามัลแวร์กำลังแพร่กระจายผ่านไซต์พิมพ์ผิดที่เลียนแบบเว็บไซต์ของ Angry IP Scanner ซึ่งเป็นเครื่องมือเครือข่ายยอดนิยมที่ผู้เชี่ยวชาญด้านไอทีใช้
สารบัญ
การรีแบรนด์ที่เป็นไปได้ของกลุ่มอาชญากรรมไซเบอร์ก่อนหน้านี้
Hunters International ซึ่งเป็นปฏิบัติการเรียกค่าไถ่ที่เปิดตัวในช่วงปลายปี 2023 คาดว่าจะเปลี่ยนชื่อ แบรนด์ Hive เนื่องจากโค้ดมีความคล้ายคลึงกัน เหยื่อที่มีชื่อเสียง ได้แก่ Austal USA ซึ่งเป็นผู้รับเหมาของกองทัพเรือสหรัฐฯ Hoya ยักษ์ใหญ่ด้านทัศนศาสตร์ของญี่ปุ่น Integris Health และศูนย์มะเร็ง Fred Hutch ซึ่งเน้นย้ำถึงการไม่คำนึงถึงขอบเขตทางจริยธรรมของกลุ่ม
ในปี 2024 กลุ่มดังกล่าวอ้างว่ารับผิดชอบต่อการโจมตีด้วยแรนซัมแวร์ 134 ครั้งต่อองค์กรต่างๆ ทั่วโลก (ไม่รวมองค์กรในภูมิภาค CIS) ทำให้เป็นกลุ่มแรนซัมแวร์ที่มีการใช้งานมากที่สุดอันดับที่ 10 ในปีนี้
SharpRhino RAT ทำงานอย่างไร
SharpRhino ได้รับการเผยแพร่ในรูปแบบตัวติดตั้ง 32 บิตที่เซ็นชื่อแบบดิจิทัล ('ipscan-3.9.1-setup.exe') ซึ่งรวมถึงไฟล์เก็บถาวร 7z ที่ขยายได้เองและมีการป้องกันด้วยรหัสผ่าน ซึ่งมีไฟล์เพิ่มเติมที่จำเป็นสำหรับกระบวนการติดไวรัส เมื่อติดตั้ง ซอฟต์แวร์จะเปลี่ยนแปลงรีจิสทรีของ Windows เพื่อความคงอยู่ และสร้างทางลัดไปยัง Microsoft.AnyKey.exe ซึ่งเป็นไบนารี Microsoft Visual Studio ที่ใช้งานในทางที่ผิดในบริบทนี้
โปรแกรมติดตั้งยังปล่อย 'LogUpdate.bat' ซึ่งเรียกใช้สคริปต์ PowerShell บนอุปกรณ์เพื่อรวบรวมโค้ด C# ลงในหน่วยความจำ เปิดใช้งานการเรียกใช้มัลแวร์แบบซ่อนตัวได้ เพื่อความซ้ำซ้อน โปรแกรมติดตั้งจะสร้างไดเร็กทอรีสองไดเร็กทอรี: 'C:\ProgramData\Microsoft: WindowsUpdater24' และ 'LogUpdateWindows' ซึ่งทั้งสองไดเร็กทอรีใช้สำหรับการสื่อสารคำสั่งและการควบคุม (C2)
มัลแวร์มีคำสั่งฮาร์ดโค้ด 2 คำสั่ง ได้แก่ 'delay' ซึ่งตั้งเวลาสำหรับคำขอ POST ถัดไปเพื่อดึงคำสั่ง และ 'exit' ซึ่งยุติการสื่อสาร การวิเคราะห์พบว่ามัลแวร์สามารถรันคำสั่ง PowerShell บนโฮสต์ได้ ทำให้สามารถดำเนินการที่เป็นอันตรายต่างๆ ได้
อาชญากรไซเบอร์ใช้ไซต์ปลอมเลียนแบบเครื่องมือที่ถูกกฎหมาย
Hunters International ได้ใช้กลยุทธ์ใหม่ในการใช้เว็บไซต์ที่เลียนแบบเครื่องมือสแกนเครือข่ายโอเพ่นซอร์สที่ถูกกฎหมายเพื่อกำหนดเป้าหมายไปที่ผู้เชี่ยวชาญด้านไอที โดยมีเป้าหมายเพื่อละเมิดบัญชีที่มีสิทธิ์ระดับสูง
ผู้ใช้ควรระมัดระวังผลการค้นหาที่ได้รับการสนับสนุนเพื่อหลีกเลี่ยงมัลแวร์โฆษณา ใช้ตัวบล็อกโฆษณาเพื่อป้องกันไม่ให้ผลลัพธ์เหล่านี้ปรากฏ และบุ๊กมาร์กไซต์โครงการอย่างเป็นทางการซึ่งเป็นที่รู้จักในการให้บริการตัวติดตั้งที่ปลอดภัย เพื่อลดผลกระทบของการโจมตีแรนซัมแวร์ ให้ใช้แผนการสำรองข้อมูลที่มีประสิทธิภาพ ฝึกการแบ่งส่วนเครือข่าย และอัปเดตซอฟต์แวร์ทั้งหมดให้ทันสมัยอยู่เสมอเพื่อลดโอกาสในการเพิ่มระดับสิทธิ์และการเคลื่อนไหวด้านข้าง
