SharpRhino RAT

Ang pangkat ng Hunters International Ransomware ay bumuo ng isang bagong C# Remote Access Trojan (RAT) na pinangalanang SharpRhino upang i-target ang mga manggagawang IT at makalusot sa mga corporate network. Pinapadali ng malware na ito ang paunang impeksyon, pagtaas ng pribilehiyo sa mga nakompromisong system, pagpapatupad ng mga utos ng PowerShell at sa huli ang pag-deploy ng ransomware.

Natukoy ng mga mananaliksik sa cybersecurity na ang malware ay kumakalat sa pamamagitan ng isang typosquatting site na ginagaya ang website ng Angry IP Scanner, isang sikat na tool sa networking na ginagamit ng mga propesyonal sa IT.

Posibleng Rebrand ng Nakaraang Cybercrime Group

Ang Hunters International , isang ransomware operation na inilunsad noong huling bahagi ng 2023, ay pinaghihinalaang rebrand ng Hive dahil sa pagkakapareho sa kanilang code. Kabilang sa mga kilalang biktima nito ay ang Austal USA, isang kontratista ng US Navy, Japanese optics giant na Hoya, Integris Health, at ang Fred Hutch Cancer Center, na itinatampok ang pagwawalang-bahala ng grupo sa mga etikal na hangganan.

Noong 2024, inangkin ng grupo ang responsibilidad para sa 134 na pag-atake ng ransomware sa mga organisasyon sa buong mundo (hindi kasama ang mga nasa rehiyon ng CIS), na ginagawa itong ikasampu sa pinaka-aktibong grupo ng ransomware ngayong taon.

Paano Gumagana ang SharpRhino RAT?

Ang SharpRhino ay ipinamahagi bilang isang digitally sign na 32-bit installer ('ipscan-3.9.1-setup.exe') na may kasamang self-extracting, password-protected na 7z archive na naglalaman ng mga karagdagang file na kinakailangan para sa proseso ng impeksyon. Sa pag-install, binabago ng software ang Windows registry para sa pagtitiyaga at gumagawa ng shortcut sa Microsoft.AnyKey.exe, isang Microsoft Visual Studio binary na nagamit nang mali sa kontekstong ito.

Ibinabagsak din ng installer ang 'LogUpdate.bat,' na nagpapatakbo ng mga PowerShell script sa device upang i-compile ang C# code sa memorya, na nagpapagana ng palihim na pagpapatupad ng malware. Para sa redundancy, lumilikha ang installer ng dalawang direktoryo: 'C:\ProgramData\Microsoft: WindowsUpdater24' at 'LogUpdateWindows,' na parehong ginagamit para sa command at control (C2) na komunikasyon.

Ang malware ay may dalawang hardcoded na utos: 'antala,' na nagtatakda ng timer para sa susunod na kahilingan sa POST upang kunin ang isang utos, at 'lumabas,' na magwawakas sa komunikasyon nito. Ang pagsusuri ay nagpapakita na ang malware ay maaaring magsagawa ng mga utos ng PowerShell sa host, na nagbibigay-daan dito na magsagawa ng iba't ibang nakakapinsalang pagkilos.

Gumagamit ang Mga Cybercriminal ng Mga Pekeng Site na Gumagaya sa Mga Lehitimong Tool

Ang Hunters International ay nagpatibay ng isang bagong diskarte sa paggamit ng mga website na ginagaya ang mga lehitimong open-source na tool sa pag-scan ng network upang i-target ang mga propesyonal sa IT, na naglalayong labagin ang mga account na may mataas na mga pribilehiyo.

Ang mga gumagamit ay dapat na maging maingat sa mga naka-sponsor na resulta ng paghahanap upang maiwasan ang malvertising, gumamit ng mga ad blocker upang maiwasan ang paglitaw ng mga resultang ito, at i-bookmark ang mga opisyal na site ng proyekto na kilala sa pagbibigay ng mga ligtas na installer. Upang pahinain ang epekto ng mga pag-atake ng ransomware, magpatupad ng isang mahusay na backup na plano, magsanay ng pagse-segment ng network, at panatilihing napapanahon ang lahat ng software upang mabawasan ang mga pagkakataon para sa pagtaas ng pribilehiyo at paggalaw sa gilid.