Ransomware Hunters International: Chiến dịch tấn công mới nhắm đến nhân viên IT
Nhóm ransomware Hunters International đang nhắm mục tiêu vào nhân viên IT với một trojan truy cập từ xa (RAT) mới viết bằng C# có tên là SharpRhino để xâm nhập vào mạng doanh nghiệp.
Thông tin chi tiết
Các nhà nghiên cứu gần đây đã phát hiện ra một phần mềm độc hại được sử dụng trong các cuộc tấn công ransomware nguy hiểm, báo cáo rằng nó được phân phối bởi một trang web giả mạo bắt chước trang web của Angry IP Scanner, một công cụ mạng hợp pháp được sử dụng bởi các chuyên gia IT.
Vào tháng 1 năm 2024, công ty bảo mật mạng eSentire và nhà nghiên cứu 0xBurgers trước đó đã thấy phần mềm độc hại được phân phối thông qua một trang web Advanced IP Scanner giả mạo. Hunters International là một hoạt động ransomware được ra mắt vào cuối năm 2023 và được coi là có thể là sự đổi tên của Hive do có những tương đồng về mã.
Cho đến nay, trong năm 2024, nhóm đe dọa này đã công bố 134 cuộc tấn công ransomware chống lại các tổ chức khác nhau trên toàn cầu (ngoại trừ CIS), xếp hạng thứ mười trong số các nhóm hoạt động tích cực nhất trong lĩnh vực này.
Chi tiết kỹ thuật về SharpRhino
Mục đích của SharpRhino:
Tạo điều kiện cho việc xâm nhập ban đầu.
Nâng cao đặc quyền trên các hệ thống nạn nhân.
Thực thi các lệnh PowerShell.
Cuối cùng là triển khai payload ransomware.
Chi tiết kỹ thuật:
RAT SharpRhino SharpRhino được phát tán dưới dạng một trình cài đặt 32-bit có chữ ký số ('ipscan-3.9.1-setup.exe') chứa một tệp nén 7z tự giải nén được bảo vệ bằng mật khẩu với các tệp bổ sung để thực hiện việc lây nhiễm.
Nội dung tệp nén Nguồn: Quorum Cyber
Trình cài đặt sửa đổi registry Windows để duy trì và tạo một shortcut đến Microsoft.AnyKey.exe, thông thường là một tệp nhị phân của Microsoft Visual Studio bị lạm dụng trong trường hợp này. Ngoài ra, trình thực thi Dropper dưới tên file là 'LogUpdate.bat' sẽ thực thi các script PowerShell trên thiết bị để biên dịch C# vào bộ nhớ để thực thi phần mềm độc hại một cách bí mật.
Để dự phòng, trình cài đặt tạo hai thư mục, 'C:\ProgramData\Microsoft: WindowsUpdater24' và 'LogUpdateWindows', cả hai đều được sử dụng trong trao đổi điều khiển và kiểm soát (C2). Hai lệnh được mã hóa cứng vào phần mềm độc hại, cụ thể là 'delay', để đặt thời gian cho yêu cầu POST tiếp theo để nhận lệnh, và 'exit', để kết thúc giao tiếp của nó.
Phân tích cho thấy phần mềm độc hại có thể thực thi PowerShell trên máy chủ, có thể được sử dụng để thực hiện nhiều hành động nguy hiểm khác nhau. Quorum đã kiểm tra cơ chế này bằng cách khởi chạy thành công máy tính Windows thông qua SharpRhino.
QFunction chịu trách nhiệm thực thi PowerShell Nguồn: Quorum Cyber
Chiến thuật mới của Hunters International về việc triển khai các trang web để giả mạo các công cụ quét mạng mã nguồn mở hợp pháp cho thấy họ đang nhắm mục tiêu vào nhân viên IT với hy vọng xâm nhập vào các tài khoản có đặc quyền cao.
IOCs
Hash:
Value SHA-256 | File |
D2E7729C64C0DAC2309916CE95F6A8253CA7F3C7A2B92B452E7CFB69A601FBF6 | LogUpdate.bat |
3F1443BE65525BD71D13341017E469C3E124E6F06B09AE4DA67FDEAA6B6C381F | Wiaphoh7um.t |
223AA5D93A00B41BF92935B00CB94BB2970C681FC44C9C75F245A236D617D9BB | ipscan-3.9.1-setup.exe |
9A8967E9E5ED4ED99874BFED58DEA8FA7D12C53F7521370B8476D8783EBE5021 | kautix2aeX.t |
B57EC2EA899A92598E8EA492945F8F834DD9911CFF425ABF6D48C660E747D722 | WindowsUpdate.bat |
09B5E780227CAA97A042BE17450EAD0242FD7F58F513158E26678C811D67E264 | ipscan-3.9.1-setup.exe |
Domain:
Value | Details |
cdn-server-1[.]xiren77418[.]workers[.]dev | Command & Control |
cdn-server-2[.]wesoc40288[.]workers[.]dev | Command & Control |
Angryipo[.]org | Initial Download Site |
Angryipsca[.]com | Initial Download Site |
ec2-3-145-180-193.us-east-2.compute[.]amazonaws[.]com | Command & Control |
ec2-3-145-172-86.us-east-2.compute[.]amazonaws[.]com | Command & Control |
Tham khảo
Ransomware gang targets IT workers with new SharpRhino malware.
SharpRhino – New Hunters International RAT Identified by Quorum Cyber.