SharpRhino RAT
Die Ransomware-Gruppe Hunters International hat einen neuen C# Remote Access Trojan (RAT) namens SharpRhino entwickelt, der IT-Mitarbeiter angreift und Unternehmensnetzwerke infiltriert. Diese Malware ermöglicht die Erstinfektion, die Rechteausweitung auf infizierten Systemen, die Ausführung von PowerShell-Befehlen und schließlich die Bereitstellung von Ransomware.
Cybersicherheitsforscher haben herausgefunden, dass die Malware über eine Typosquatting-Site verbreitet wird, die die Website von Angry IP Scanner nachahmt, einem beliebten Netzwerktool für IT-Experten.
Inhaltsverzeichnis
Mögliche Umbenennung der früheren Cybercrime-Gruppe
The Hunters International , eine Ende 2023 gestartete Ransomware-Operation, wird aufgrund von Ähnlichkeiten im Code verdächtigt, eine Umbenennung von Hive zu sein. Zu den namhaften Opfern zählen Austal USA, ein Auftragnehmer der US-Marine, der japanische Optikriese Hoya, Integris Health und das Fred Hutch Cancer Center, was die Missachtung ethischer Grenzen durch die Gruppe verdeutlicht.
Im Jahr 2024 übernahm die Gruppe die Verantwortung für 134 Ransomware-Angriffe auf Organisationen weltweit (ausgenommen solche in der GUS-Region) und war damit in diesem Jahr die zehntaktivste Ransomware-Gruppe.
Wie funktioniert SharpRhino RAT?
SharpRhino wird als digital signiertes 32-Bit-Installationsprogramm („ipscan-3.9.1-setup.exe“) verteilt, das ein selbstextrahierendes, kennwortgeschütztes 7z-Archiv mit zusätzlichen Dateien enthält, die für den Infektionsprozess erforderlich sind. Bei der Installation ändert die Software die Windows-Registrierung, um sie dauerhaft zu speichern, und erstellt eine Verknüpfung zu Microsoft.AnyKey.exe, einer Microsoft Visual Studio-Binärdatei, die in diesem Zusammenhang missbraucht wird.
Das Installationsprogramm legt auch „LogUpdate.bat“ ab, das PowerShell-Skripte auf dem Gerät ausführt, um C#-Code in den Speicher zu kompilieren und so die heimliche Ausführung von Malware zu ermöglichen. Aus Redundanzgründen erstellt das Installationsprogramm zwei Verzeichnisse: „C:\ProgramData\Microsoft: WindowsUpdater24“ und „LogUpdateWindows“, die beide für die Command-and-Control-Kommunikation (C2) verwendet werden.
Die Malware verfügt über zwei fest codierte Befehle: „delay“, das den Timer für die nächste POST-Anfrage zum Abrufen eines Befehls einstellt, und „exit“, das die Kommunikation beendet. Die Analyse zeigt, dass die Malware PowerShell-Befehle auf dem Host ausführen kann, wodurch dieser verschiedene schädliche Aktionen durchführen kann.
Cyberkriminelle nutzen gefälschte Websites, die legitime Tools imitieren
Hunters International verfolgt eine neue Strategie: Sie nutzt Websites, die legitime Open-Source-Netzwerk-Scan-Tools imitieren, um IT-Experten ins Visier zu nehmen und sich Zugang zu Konten mit erweiterten Berechtigungen zu verschaffen.
Benutzer sollten bei gesponserten Suchergebnissen vorsichtig sein, um Malvertising zu vermeiden, Werbeblocker verwenden, um die Anzeige dieser Ergebnisse zu verhindern, und offizielle Projektseiten mit Lesezeichen versehen, die für sichere Installationsprogramme bekannt sind. Um die Auswirkungen von Ransomware-Angriffen abzuschwächen, implementieren Sie einen robusten Backup-Plan, üben Sie Netzwerksegmentierung und halten Sie die gesamte Software auf dem neuesten Stand, um Möglichkeiten zur Rechteausweitung und lateralen Bewegung zu minimieren.
