Гострий носоріг ЩУР
Група Hunters International Ransomware розробила новий троян віддаленого доступу C# (RAT) під назвою SharpRhino для націлювання на ІТ-працівників і проникнення в корпоративні мережі. Це зловмисне програмне забезпечення сприяє початковому зараженню, підвищенню привілеїв у скомпрометованих системах, виконанню команд PowerShell і, зрештою, розгортанню програм-вимагачів.
Дослідники з кібербезпеки виявили, що зловмисне програмне забезпечення поширюється через сайт typosquatting, який імітує веб-сайт Angry IP Scanner, популярного мережевого інструменту, який використовують ІТ-фахівці.
Зміст
Можливий ребрендинг попередньої кіберзлочинної групи
Імовірно, що Hunters International , програма-вимагач, запущена наприкінці 2023 року, є ребрендингом Hive через схожість коду. Серед його відомих жертв Austal USA, підрядник ВМС США, японський оптичний гігант Hoya, Integris Health і онкологічний центр Фреда Хатча, що підкреслює нехтування групою етичними межами.
У 2024 році група взяла на себе відповідальність за 134 атаки програм-вимагачів на організації по всьому світу (за винятком країн СНД), що зробило її десятою за активністю групою програм-вимагачів цього року.
Як працює SharpRhino RAT?
SharpRhino розповсюджується як 32-розрядний інсталятор із цифровим підписом ('ipscan-3.9.1-setup.exe'), який містить саморозпаковуваний, захищений паролем архів 7z, що містить додаткові файли, необхідні для процесу зараження. Після встановлення програмне забезпечення змінює реєстр Windows для збереження та створює ярлик для Microsoft.AnyKey.exe, двійкового файлу Microsoft Visual Studio, який неправильно використовується в цьому контексті.
Інсталятор також видаляє «LogUpdate.bat», який запускає сценарії PowerShell на пристрої для компіляції коду C# у пам’ять, уможливлюючи приховане виконання зловмисного програмного забезпечення. Для резервування програма встановлення створює два каталоги: «C:\ProgramData\Microsoft: WindowsUpdater24» і «LogUpdateWindows», обидва з яких використовуються для зв’язку команд і керування (C2).
Зловмисне програмне забезпечення має дві жорстко закодовані команди: «затримка», яка встановлює таймер для наступного запиту POST для отримання команди, і «вихід», яка припиняє зв’язок. Аналіз показує, що зловмисне програмне забезпечення може виконувати команди PowerShell на хості, дозволяючи йому виконувати різні шкідливі дії.
Кіберзлочинці використовують підроблені сайти, що імітують законні інструменти
Hunters International прийняв нову стратегію використання веб-сайтів, які імітують законні інструменти мережевого сканування з відкритим кодом, для націлювання на ІТ-фахівців з метою злому облікових записів із підвищеними привілеями.
Користувачам слід бути обережними зі спонсорованими результатами пошуку, щоб уникнути зловмисної реклами, використовувати блокувальники реклами, щоб запобігти появі цих результатів, і робити закладки на офіційних сайтах проектів, відомих тим, що вони надають безпечні інсталятори. Щоб послабити вплив атак програм-вимагачів, запровадьте надійний план резервного копіювання, практикуйте сегментацію мережі та оновлюйте все програмне забезпечення, щоб звести до мінімуму можливості ескалації привілеїв і бокового переміщення.
