SharpRhino: новый C# троян проникает в корпоративные сети
Hunters International не щадит даже медицинские учреждения.
Группа вымогателей Hunters International начала использовать новый троян удалённого доступа (RAT) на языке C# под названием SharpRhino для проникновения в корпоративные сети. Этот вредоносный софт помогает хакерам добиться начального заражения, повысить привилегии на заражённых системах, выполнить определённые PowerShell-команды и, в конечном итоге, развернуть вымогательский софт.
Исследователи Quorum Cyber, обнаружившие новый троян, сообщают, что он распространяется через спонсируемый в Google Ads сайт-двойник, который имитирует Angry IP Scanner — легитимный инструмент для сетевого сканирования, используемый IT-профессионалами.
Группа вымогателей Hunters International была запущена в конце 2023 года и подозревается в перерождении (ребрендинге) из группы Hive из-за схожести кода. Среди известных жертв группировки — подрядчик ВМС США Austal USA, японская оптическая компания Hoya, Integris Health и онкологический центр Fred Hutch. Даже медицинские учреждения являются для Hunters International абсолютно допустимой целью.
С начала этого года группировка объявила о 134 атаках с использованием вымогательского ПО против различных организаций по всему миру, что ставит её на десятое место среди самых активных групп в этой сфере.
Вредонос SharpRhino распространяется как подписанный 32-битный установщик («ipscan-3.9.1-setup.exe»), содержащий самораспаковывающийся 7z-архив с дополнительными файлами для выполнения заражения. Потенциальная жертва скачивает и запускает это вредоносное ПО, полагая, что оно является законным установщиком. Однако программа EXEInfo выявила признаки, указывающие на то, что установщик был исполняемым файлом, упакованным в NSIS (Nullsoft Scriptable Installer System).
При запуске вредоносный установщик изменяет реестр Windows для обеспечения постоянства и создаёт ярлык на «Microsoft.AnyKey.exe», который обычно является бинарным файлом Microsoft Visual Studio, но в данном случае используется злоумышленниками. Кроме того, установщик создаёт файл «LogUpdate.bat», который выполняет скрипты PowerShell на устройстве для скрытой работы вредоносного ПО.
Для обеспечения надёжности эксплуатации установщик создаёт сразу два каталога:
- C:\ProgramData\Microsoft\WindowsUpdater24 — содержит файлы, которые должны быть выполнены при первом запуске программы установки NSIS;
- C:\ProgramData\Microsoft\LogUpdateWindows — содержит файлы, необходимые для установления постоянства.
Вредоносное ПО содержит две жёстко запрограммированные команды: «delay» — для установки таймера следующего запроса POST для получения команды и «exit» — для прекращения коммуникации.
Анализ показывает, что вредоносное ПО может выполнять команды PowerShell на заражённом устройстве, что позволяет проводить различные опасные действия. Эксперты Quorum Cyber протестировали этот механизм, успешно запустив калькулятор Windows через SharpRhino.
Новая тактика Hunters International, включающая создание сайтов, имитирующих легитимные сетевые инструменты, указывает на то, что они нацелены на IT-специалистов с целью взлома учётных записей с повышенными привилегиями.
Чтобы избежать случайной загрузки вредоносного ПО, пользователям рекомендуется быть осторожными со спонсируемыми результатами в поисковой выдаче, активировать блокировщики рекламы и добавить в закладки официальные сайты часто используемых проектов, чтобы скачивать только безопасные установщики.
Для уменьшения последствий атак рекомендуется создавать планы резервного копирования, сегментировать сеть и поддерживать актуальность всего программного обеспечения, чтобы минимизировать возможности хакеров по повышению привилегий и бокового перемещения.