Hizmet olarak fidye yazılımı şirketi Hunters International yeni bir uzaktan erişim trojanını (RAT) kullanıyor. Quorum Cyber araştırmacıları, “C# programlama dilini kullandığı için SharpRhino olarak adlandırılan kötü amaçlı yazılım, meşru araç Angry IP Scanner’ı taklit eden bir yazım yanlışı yapan alan adı aracılığıyla dağıtılıyor” diye keşfetti.
Angry IP Scanner bir IP adresi ve port tarayıcısıdır ve bu nedenle BT çalışanları tarafından indirilmesi ve kullanılması daha olasıdır. Bu tür belirli hedefleme, daha yüksek ayrıcalıklara ve kurumsal ağların çoğu köşesine ve bucağına erişime sahip sistemleri ve hesapları tehlikeye atma girişimi olabilir, böylece tehdit aktörü hızla çok fazla hasar verebilir.
Hedeflerin yanlış adrese sahip alan adına nasıl ulaştığı bilinmiyor ancak kötü amaçlı reklamcılık en olası teori gibi görünüyor.
Bu yılın başlarında benzer şekilde bir kötü amaçlı reklam kampanyası, sistem yardımcı programlarına yönelik Google reklamları aracılığıyla BT uzmanlarını hedef aldı ve Nitrogen adlı kötü amaçlı yazılımı dağıttı.
SharpRhino RAT
RAT’ı içeren kötü amaçlı dosyanın adı – ipscan-3.9.1-kurulum.exe – taklit etmeye çalıştığı yazılımın (genel olarak ipscan olarak adlandırılır) meşru bir yükleyicisi gibi görünmesini sağlar.
Kötü amaçlı yükleyicinin içeriği (Kaynak: Quorum Cyber)
Dosya, kalıcılık için bir Windows kayıt defterini değiştiren ve bir kısayol oluşturan bir NSIS yükleyicisidir. Microsoft.Herhangi BirAnahtar.exedaha sonra bunu yürütür GünlükGüncelleme.bat dosya.
Bu dosya, C# kodunu derleyen ve derlenmiş ikili dosyayı belleğe yükleyen bir PowerShell betiği içerir ve içindeki işlevler çağrılmaya hazırdır.
Kötü amaçlı yazılım aynı dosyaların bulunduğu iki dizin de oluşturuyor ve böylece saldırganların dizinlerden biri bulunup silinse bile RAT’a komut göndermesine olanak sağlıyor.
Hunters International Hakkında
“Hunters International, 2024’ün ilk yedi ayında şimdiye kadar 134 saldırının sorumluluğunu üstlendi. Fidye yazılımı operatörlerinin tipik bir örneği olan Hunters International, dosyaları şifrelemeden önce kurban kuruluşlardan veri sızdırıyor, dosya uzantılarını .kilitliAraştırmacılar, “Alıcıları ödeme talimatları için TOR ağındaki bir sohbet portalına yönlendiren bir BENİOKU mesajı bırakıyoruz” dedi.
Hedefleri çoğunlukla Amerika, Avrupa ve Avustralya’da bulunan örgütlerdir. Grup, Rusya’nın etkisi altındaki Bağımsız Devletler Topluluğu (BDT) içinde bulunan örgütlerden kaçınır, bu da grubun Rusya ile bağlılık bağları olduğunu gösterir.