.webp "Ağ Yöneticileri Dikkat! SharpRhino Fidye Yazılımı Öfkeli IP Tarayıcısı Kılığına Girerek Saldırıyor")
Hunters International, ilk enfeksiyon vektörü ve kalıcı Uzaktan Erişim Truva Atı (RAT) olarak SharpRhino adı verilen yeni bir C# kötü amaçlı yazılımını devreye soktu.
Angry IP Scanner’a benzeyen bir yazım hatası alan adı aracılığıyla sunulan SharpRhino, ayrıcalıkları artırmak, grubun sorunsuz bir şekilde yatay olarak hareket etmesini sağlamak ve ardından fidye yazılımı dağıtmak için daha önce hiç görülmemiş teknikler kullanır. Bu, stratejilerinin nasıl değiştiğini ve RaaS operasyonlarının ne kadar karmaşık hale geldiğini gösterir.
Hızla büyüyen bir RaaS grubu olan Hunters International, Ekim 2023’te ortaya çıktı ve kısa sürede ilk on fidye yazılımı aktörü arasına girdi.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access
Kod benzerlikleri nedeniyle iflas etmiş Hive grubuyla güçlü bağlantıları olan bu grup, ilk veri sızdırma işleminden sonra kurban dosyalarını .locked uzantısıyla kilitlemek için gelişmiş bir Rust tabanlı şifreleyici kullanıyor.
İş modelleri, gelişmiş teknik yeteneklerle bir araya gelerek, çeşitli sektörlerdeki çok sayıda kuruluşu hedef alan verimli saldırı kampanyalarını yönlendirdi.
Sektör ayrımı gözetmeksizin küresel çapta kuruluşları hedef alırken, meşru bir ağ aracı gibi görünen 32 bitlik kendi kendini açabilen yürütülebilir bir dosya olan kötü amaçlı yazılım örneği, karartma için geçerli bir kod sertifikası kullanıyor.
Kötü amaçlı yazılımın karma değerleri şunlardır: 4bba5b7d3713e8b9d73ff1955211e971, 9473104a1aefb0daabe41a92d75705be7e2daf3Ve 09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264J-Golden Strive tarafından imzalandı
.webp)
AngryIP yükleyicisi kılığına girmiş SharpRhino, ek bir ikili dosya ve parola korumalı 7z arşivi içeren NSIS paketli bir yürütülebilir dosyadır.
Analistler, arşiv parolasını aşmak için kötü amaçlı yazılımı patlatarak komut satırı argümanlarını yakaladı ve parolayı açığa çıkardı; böylece daha fazla araştırma için arşivin içeriğini çıkarabildiler.
NSIS yükleyicisi, saldırganın dağıttığı Microsoft Visual Studio 2019 Node JS araçlarından bir LOLBIN olan Microsoft.AnyKey.exe’yi başlatarak kalıcılığı sağlamak için Run\UpdateWindowsKey kayıt defterini değiştirir.
.webp)
Bu LOLBIN, daha da gizlenmiş bir PowerShell betiğine başvuran bir bat dosyası olan LogUpdate.bat’ı yürütür. Yükleyici, C2 iletişimi için dosyalar içeren WindowsUpdater24 ve LogUpdateWindows adlı iki dizin oluşturur.
Quorum Cyber tarafından .t dosyasının analizi, bunun dosyasız kötü amaçlı yazılım taktikleri kullanan bir PowerShell betiği olduğunu ortaya çıkardı. Gömülü C# kaynak kodunu çözer, belleğe derler ve yürütür.
İlk incelemeler, kötü amaçlı yazılımın muhtemelen saldırganın komuta ve kontrol altyapısı olan Cloudflare Serverless Architecture uç noktasıyla iletişim kurduğunu gösteriyor.
Bunu doğrulamak için, gömülü C# kaynak kodunu çıkarmak ve daha ileri analiz için bir dosyaya dönüştürmek üzere .t dosyası değiştirildi.
.webp)
SharpRhino zararlı yazılımının analizi, iletişim verilerini gizlemek için şifreleme kullanan son derece gizli bir C# yükünü ortaya çıkardı.
Araştırmacılar, SharpRhino’nun temel işlevlerini, ağ trafiğini kontrollü bir ortama göndererek ve şifreli C2 sunucusuyla iletişim, PowerShell komut yürütme ve temel bir gecikme mekanizması da dahil olmak üzere önemli kod parçalarını açığa çıkararak çözdüler.
‘calc.exe’nin yürütülmesi de dahil olmak üzere C2 komutlarının başarılı bir şekilde emülasyonu, virüslü sistem üzerinde tam kontrol sağlandığını doğruladı ve kötü niyetli kişiler tarafından kullanılması halinde kötü amaçlı yazılımın kapsamlı hasara yol açma potansiyelini ortaya koydu.
SharpRhino RAT trojan’ı, tespit için aşağıdaki Tehlike Göstergelerini (IOC’ler) kullanır: GünlükGüncelleme.bat, Wiaphoh7um.t, ipscan-3.9.1-kurulum.exe, kautix2aeX.tVe WindowsGüncelleme.batBu dosyaların tanımlama için karşılık gelen SHA-256 karma değerleri vardır.
RAT ayrıca şu konumda bulunan komuta ve kontrol sunucularıyla da iletişim kurar: cdn-server-1.xiren77418.workers.dev, cdn-server-2.wesoc40288.workers.dev, Angryipo.org, Ve Angryipsca.com.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide