SharpRhino 老鼠

Hunters International 勒索软件组织开发了一款名为 SharpRhino 的新型 C# 远程访问木马 (RAT)，用于攻击 IT 工作者并渗透企业网络。该恶意软件有助于初始感染、在受感染系统上提升权限、执行 PowerShell 命令以及最终部署勒索软件。

网络安全研究人员发现，该恶意软件正在通过一个模仿 Angry IP Scanner（IT 专业人士使用的流行网络工具）网站的域名抢注网站进行传播。

可能对之前的网络犯罪集团进行重塑

Hunters International是 2023 年底发起的勒索软件行动，由于代码相似，被怀疑是Hive的改名。其知名受害者包括美国海军承包商 Austal USA、日本光学巨头 Hoya、Integris Health 和 Fred Hutch 癌症中心，凸显了该组织对道德界限的漠视。

2024年，该组织声称对全球（不包括独联体地区）组织发动了134起勒索软件攻击，成为今年第十大活跃的勒索软件组织。

SharpRhino RAT 如何运作？

SharpRhino 以经过数字签名的 32 位安装程序 ('ipscan-3.9.1-setup.exe') 的形式分发，其中包含一个自解压、受密码保护的 7z 存档，其中包含感染过程所需的其他文件。安装后，该软件会更改 Windows 注册表以保持持久性，并创建指向 Microsoft.AnyKey.exe 的快捷方式，Microsoft.AnyKey.exe 是在此上下文中被滥用的 Microsoft Visual Studio 二进制文件。

安装程序还会释放“LogUpdate.bat”，它会在设备上运行 PowerShell 脚本，将 C# 代码编译到内存中，从而实现隐秘的恶意软件执行。为了实现冗余，安装程序会创建两个目录：“C:\ProgramData\Microsoft: WindowsUpdater24”和“LogUpdateWindows”，这两个目录均用于命令和控制 (C2) 通信。

该恶意软件有两个硬编码命令：“delay”，用于设置下一次 POST 请求检索命令的计时器；“exit”，用于终止其通信。分析表明，该恶意软件可以在主机上执行 PowerShell 命令，从而允许其执行各种有害操作。

网络犯罪分子利用虚假网站模仿合法工具

猎人国际采用了一种新策略，即使用模仿合法开源网络扫描工具的网站来攻击 IT 专业人士，目的是窃取具有提升权限的帐户。

用户应谨慎对待赞助搜索结果以避免恶意广告，使用广告拦截器阻止这些结果出现，并收藏以提供安全安装程序而闻名的官方项目网站。为了削弱勒索软件攻击的影响，请实施强大的备份计划，实行网络分段，并保持所有软件更新，以最大限度地减少特权升级和横向移动的机会。