SharpTê Giác CHUỘT
Nhóm Hunters International Ransomware đã phát triển một Trojan truy cập từ xa C# (RAT) mới có tên SharpRhino để nhắm mục tiêu vào nhân viên CNTT và xâm nhập vào mạng công ty. Phần mềm độc hại này tạo điều kiện cho việc lây nhiễm ban đầu, leo thang đặc quyền trên các hệ thống bị xâm nhập, thực thi các lệnh PowerShell và cuối cùng là triển khai phần mềm ransomware.
Các nhà nghiên cứu an ninh mạng đã xác định rằng phần mềm độc hại đang lây lan thông qua một trang web đánh máy bắt chước trang web của Angry IP Scanner, một công cụ mạng phổ biến được các chuyên gia CNTT sử dụng.
Mục lục
Có thể đổi tên thương hiệu của nhóm tội phạm mạng trước đây
Hunters International , một hoạt động ransomware được ra mắt vào cuối năm 2023, bị nghi ngờ là một thương hiệu được đổi tên của Hive do những điểm tương đồng trong mã của chúng. Trong số các nạn nhân đáng chú ý của nó có Austal USA, một nhà thầu của Hải quân Hoa Kỳ, gã khổng lồ quang học Nhật Bản Hoya, Integris Health và Trung tâm Ung thư Fred Hutch, nêu bật sự coi thường ranh giới đạo đức của nhóm.
Vào năm 2024, nhóm này đã nhận trách nhiệm về 134 cuộc tấn công bằng ransomware vào các tổ chức trên toàn thế giới (không bao gồm các tổ chức ở khu vực CIS), khiến nhóm này trở thành nhóm ransomware hoạt động mạnh thứ mười trong năm nay.
SharpRhino RAT hoạt động như thế nào?
SharpRhino được phân phối dưới dạng trình cài đặt 32 bit được ký điện tử ('ipscan-3.9.1-setup.exe') bao gồm kho lưu trữ 7z tự giải nén, được bảo vệ bằng mật khẩu chứa các tệp bổ sung cần thiết cho quá trình lây nhiễm. Sau khi cài đặt, phần mềm sẽ thay đổi sổ đăng ký Windows để duy trì tính bền vững và tạo lối tắt đến Microsoft.AnyKey.exe, một tệp nhị phân Microsoft Visual Studio bị lạm dụng trong ngữ cảnh này.
Trình cài đặt cũng bỏ 'LogUpdate.bat', chạy tập lệnh PowerShell trên thiết bị để biên dịch mã C# vào bộ nhớ, cho phép thực thi phần mềm độc hại lén lút. Để dự phòng, trình cài đặt tạo hai thư mục: 'C:\ProgramData\Microsoft: WindowsUpdater24' và 'LogUpdateWindows', cả hai đều được sử dụng cho giao tiếp lệnh và điều khiển (C2).
Phần mềm độc hại có hai lệnh được mã hóa cứng: 'delay', đặt bộ hẹn giờ cho yêu cầu POST tiếp theo để truy xuất lệnh và 'exit', chấm dứt liên lạc của nó. Phân tích cho thấy phần mềm độc hại có thể thực thi các lệnh PowerShell trên máy chủ, cho phép nó thực hiện nhiều hành động có hại khác nhau.
Tội phạm mạng sử dụng các trang web giả mạo bắt chước các công cụ hợp pháp
Hunters International đã áp dụng chiến lược mới sử dụng các trang web bắt chước các công cụ quét mạng nguồn mở hợp pháp để nhắm mục tiêu vào các chuyên gia CNTT, nhằm mục đích xâm phạm các tài khoản có đặc quyền nâng cao.
Người dùng nên thận trọng với các kết quả tìm kiếm được tài trợ để tránh quảng cáo độc hại, sử dụng trình chặn quảng cáo để ngăn những kết quả này xuất hiện và đánh dấu các trang web chính thức của dự án được biết đến là nơi cung cấp trình cài đặt an toàn. Để làm suy yếu tác động của các cuộc tấn công bằng ransomware, hãy triển khai kế hoạch sao lưu mạnh mẽ, thực hành phân đoạn mạng và cập nhật tất cả phần mềm để giảm thiểu cơ hội leo thang đặc quyền và di chuyển ngang.
