SharpRhino RAT
Hunters International Ransomware grubu, BT çalışanlarını hedef almak ve kurumsal ağlara sızmak için SharpRhino adında yeni bir C# Uzaktan Erişim Truva Atı (RAT) geliştirdi. Bu kötü amaçlı yazılım, ilk bulaşmayı, güvenliği ihlal edilmiş sistemlerde ayrıcalık yükseltmeyi, PowerShell komutlarının yürütülmesini ve sonuçta fidye yazılımının dağıtımını kolaylaştırır.
Siber güvenlik araştırmacıları, kötü amaçlı yazılımın, BT uzmanları tarafından kullanılan popüler bir ağ aracı olan Angry IP Scanner'ın web sitesini taklit eden yazım hatası yapan bir site aracılığıyla yayıldığını tespit etti.
İçindekiler
Önceki Siber Suç Grubunun Olası Yeniden Markalanması
2023'ün sonlarında başlatılan bir fidye yazılımı operasyonu olan Hunters International'ın , kodlarındaki benzerlikler nedeniyle Hive'ın yeniden markalanmış hali olduğundan şüpheleniliyor. Dikkate değer kurbanlar arasında ABD Donanması yüklenicisi olan Austal USA, Japon optik devi Hoya, Integris Health ve Fred Hutch Kanser Merkezi yer alıyor ve bu da grubun etik sınırları göz ardı ettiğini gösteriyor.
Grup, 2024 yılında dünya çapındaki kuruluşlara (BDT bölgesindekiler hariç) yönelik 134 fidye yazılımı saldırısının sorumluluğunu üstlenerek bu yılın en aktif onuncu fidye yazılımı grubu oldu.
SharpRhino RAT Nasıl Çalışır?
SharpRhino, bulaşma süreci için gerekli ek dosyaları içeren, kendi kendine açılan, parola korumalı bir 7z arşivi içeren, dijital olarak imzalanmış 32 bitlik bir yükleyici ('ipscan-3.9.1-setup.exe') olarak dağıtılır. Kurulumun ardından yazılım, kalıcılık sağlamak için Windows kayıt defterini değiştirir ve bu bağlamda kötüye kullanılan bir Microsoft Visual Studio ikili programı olan Microsoft.AnyKey.exe'ye bir kısayol oluşturur.
Yükleyici ayrıca C# kodunu belleğe derlemek için cihazda PowerShell komut dosyalarını çalıştıran 'LogUpdate.bat'ı da bırakarak kötü amaçlı yazılımların gizlice yürütülmesini sağlar. Yedekleme için yükleyici iki dizin oluşturur: 'C:\ProgramData\Microsoft: WindowsUpdater24' ve 'LogUpdateWindows'; bunların her ikisi de komut ve kontrol (C2) iletişimi için kullanılır.
Kötü amaçlı yazılımın iki sabit kodlu komutu vardır: bir komutu almak için bir sonraki POST isteği için zamanlayıcıyı ayarlayan 'gecikme' ve iletişimini sonlandıran 'çıkış'. Analiz, kötü amaçlı yazılımın ana bilgisayar üzerinde PowerShell komutlarını çalıştırarak çeşitli zararlı eylemler gerçekleştirmesine olanak sağladığını ortaya koyuyor.
Siber Suçlular Meşru Araçları Taklit Eden Sahte Siteler Kullanıyor
Hunters International, yüksek ayrıcalıklara sahip hesapları ihlal etmeyi amaçlayan BT profesyonellerini hedef almak için meşru açık kaynaklı ağ tarama araçlarını taklit eden web sitelerini kullanma yönünde yeni bir strateji benimsedi.
Kullanıcılar, kötü amaçlı reklamlardan kaçınmak için sponsorlu arama sonuçlarına karşı dikkatli olmalı, bu sonuçların görünmesini önlemek için reklam engelleyicileri kullanmalı ve güvenli kurulumcular sağladığı bilinen resmi proje sitelerine yer işareti koymalıdır. Fidye yazılımı saldırılarının etkisini azaltmak için sağlam bir yedekleme planı uygulayın, ağ bölümlendirme uygulayın ve ayrıcalık yükseltme ve yatay hareket fırsatlarını en aza indirmek için tüm yazılımları güncel tutun.
