銳犀鼠

Hunters International 勒索軟體組織開發了一種名為 SharpRhino 的新 C# 遠端存取木馬 (RAT)，旨在針對 IT 員工並滲透企業網路。該惡意軟體有助於初始感染、受感染系統的權限升級、PowerShell 命令的執行以及最終勒索軟體的部署。

網路安全研究人員發現，該惡意軟體正在透過模仿 Angry IP Scanner（IT 專業人員使用的熱門網路工具）網站的仿冒網站進行傳播。

前網路犯罪集團可能更名

Hunters International是 2023 年底推出的勒索軟體操作，由於代碼相似，被懷疑是Hive的品牌重塑。其中著名的受害者包括美國海軍承包商 Austal USA、日本光學巨頭 Hoya、Integris Health 和 Fred Hutch 癌症中心，這凸顯了該組織對道德界線的無視。

2024 年，該組織聲稱對全球組織（不包括獨聯體地區的組織）發動了 134 起勒索軟體攻擊，使其成為今年第十個最活躍的勒索軟體組織。

SharpRhino RAT 如何運作？

SharpRhino 作為數位簽章的 32 位元安裝程式（「ipscan-3.9.1-setup.exe」）進行分發，其中包括一個自解壓縮、受密碼保護的 7z 存檔，其中包含感染過程所需的其他檔案。安裝後，軟體會變更 Windows 註冊表以實現持久性，並建立 Microsoft.AnyKey.exe（在此上下文中被誤用的 Microsoft Visual Studio 二進位檔案）的捷徑。

安裝程式也會釋放“LogUpdate.bat”，它會在裝置上執行 PowerShell 腳本，將 C# 程式碼編譯到記憶體中，從而實現隱密的惡意軟體執行。為了冗餘，安裝程式會建立兩個目錄：“C:\ProgramData\Microsoft:WindowsUpdater24”和“LogUpdateWindows”，這兩個目錄都用於命令和控制 (C2) 通訊。

該惡意軟體有兩個硬編碼命令：“延遲”，它為下一個 POST 請求設置計時器以檢索命令；“退出”，它終止其通訊。分析表明，該惡意軟體可以在主機上執行PowerShell命令，使其執行各種有害操作。

網路犯罪分子使用模仿合法工具的虛假網站

Hunters International 採用了一種新策略，使用模仿合法開源網路掃描工具的網站來瞄準 IT 專業人員，旨在破壞具有更高權限的帳戶。

用戶應謹慎對待贊助搜尋結果，以避免惡意廣告，使用廣告攔截器來防止這些結果出現，並為以提供安全安裝程式而聞名的官方專案網站添加書籤。為了削弱勒索軟體攻擊的影響，請實施強大的備份計劃，實施網路分段，並使所有軟體保持最新，以最大限度地減少權限升級和橫向移動的機會。