Fidye yazılımı besin zincirinin zirvesine hızla yükselen yeni bir tehdit grubunun cephaneliğinde yeni bir uzaktan erişim Truva Atı (RAT) bulunuyor. Grup, BT profesyonellerini hedef aldığı görülen saldırılarda bu aracı kullanıyor.
Quorum Cyber’dan araştırmacılar açıklığa kavuşmuş Geçtiğimiz Ekim ayından bu yana faaliyet gösteren Hunters International’ın yakın zamanda yayınladığı bir blog yazısında, Kovan fidye yazılımıGrup, SharpRhino adı verilen yeni kötü amaçlı yazılımı, öncelikle hedeflenen altyapıya erişmek, ardından kalıcılık sağlamak ve saldırganların cihaza uzaktan erişimini sürdürmesini sağlamak için kullanıyor.
SharpRhino, açık kaynaklı ağ yönetim aracı Angry IP Scanner kılığında sistemleri, yazım yanlışı yaparak etki alanlarına saldırıyor. Angry IP Scanner açık kaynaklı olduğundan, saldırganlar geçerli kod imzalama sertifikalarını kötüye kullanabilir ve kötüye kullanarak, ağ yöneticisinin geçerli bir sertifikaya sahip bir yazılımı indiriyormuş gibi görünmesini sağlayabilir, ancak bunun yerine kötü amaçlı yazılımı yükleyebilir, gönderiye göre.
SharpRhino, yürütme sırasında kalıcılık sağlar ve saldırganlara cihaza uzaktan erişim sağlar, ardından bunu Hive fidye yazılımını kullanarak tipik bir fidye yazılımı saldırısı başlatmak için kullanırlar. Hunters International, kötü amaçlı yazılımı, ilk sahiplerinden, bu kötü amaçlı yazılım dağıtıldıktan sonra dağılan bir gruptan satın aldı. çıkarılmış uluslararası hukukun uygulanmasıyla kuruluşundan kısa bir süre sonra yasaklandı.
Quorum Siber Tehdit İstihbaratı analisti Michael Forret, gönderisinde “Daha önce görülmemiş teknikler kullanan kötü amaçlı yazılım, saldırganın minimum kesintiyle hedeflemesini daha da ileriye taşıyabilmesini sağlamak için cihazda yüksek düzeyde izin elde edebiliyor” ifadelerini kullandı.
Bir Fidye Yazılımı Grubunun Evrimi
SharpRhino, Rusya ile bağlantılı bir grup olan Hunters International’ın ilerlemesini gösteriyor. Grup, 2024’ün ilk yedi ayında 134 saldırının sorumluluğunu üstlendi. Hızla Yükselişe geçti Hive’ı elinde bulundurması nedeniyle 2024 yılında en aktif 10. fidye yazılımı grubu olarak listeleniyor.
Fidye yazılımından yararlanan grup, kendisini şu şekilde konumlandırdı: fidye yazılımı hizmeti (RaaS) Kirli işlerinin çoğunu yapmak için daha az gelişmiş aktörlerle çalışan ve Hive’ı daha hızlı yaymasına olanak tanıyan bir sağlayıcı. “RaaS sağlayıcısı olmak, şöhrete hızla ulaşmalarının ana nedeni olabilir,” diye yazdı Forret.
Diğer birçok kişi gibi fidye yazılımı operatörleriHunters International, dosyaları şifrelemeden önce kurban kuruluşlardan verileri sızdırıyor, ardından dosya uzantılarını .locked olarak değiştiriyor ve alıcıları ödeme talimatları için Tor ağındaki bir sohbet portalına yönlendiren bir BENİOKU mesajı bırakıyor.
“Şifreleyicinin kendisi, siber suçlular tarafından güvenlik özellikleri, verimliliği ve tersine mühendisliğe karşı direnci nedeniyle giderek daha fazla tercih edilen bir programlama dili olan Rust’ta kodlanmış, karmaşık bir tasarım sergiliyor,” diye yazdı Forret. “Bu taktik, fidye yazılımı gelişiminde gözlemlenen evrimle uyumludur ve Hive ve BlackCat gibi önemli örnekler de vardır.”
Meşru Yazılım Kılığında
Araştırmacılar, J-Golden Strive Trading Co. Ltd. tarafından imzalanmış geçerli bir sertifika kullanan bir SharpRhino örneğini analiz ettiler. Forret, kötü amaçlı yazılımı ileten dosyanın, 7-Zip gibi çoğu sıkıştırma aracının anlayıp okuyabildiği yaygın bir dosya olan Nullsoft Scriptable Installer System (NSIS) paketli bir yürütülebilir dosya olduğunu gözlemledi.
Kurulum sistemi, kalıcılığı değiştirerek oluşturur Çalıştır\UpdateWindowsKey kısayolu ile kayıt olun Microsoft.Herhangi BirAnahtar, ve iki dizin oluşturur C:\ProgramVerileri\Microsoft — isminde WindowsGüncelleyici24 ve bir diğeri de GünlükGüncellemeWindows — Forret, Hunters International’ın komuta ve kontrolüne (C2) birden fazla kanaldan erişim sağlamayı kolaylaştırmak için “bir yedek mekanizma” olarak belirtti.
“Eğer klasör WindowsGüncelleyici24 ve içeriği bir güvenlik motoru veya profesyoneli tarafından keşfedilirse, kalıcılık mekanizmasının kalma ve cihazın enfekte kalma olasılığı vardır” diye yazdı.
Forret, SharpRhino’nun saldırısındaki amacının, Hunters International’a hedeflenen bir sistem üzerinde kalıcılık ve kontrol sağlayarak finansal kazanç elde etmek için “karmaşık bir fidye yazılımı saldırısı başlatmak” olduğunu, grubun bunu herhangi bir sektör veya bölgeye öncelik vermeden, bunun yerine “fırsatçı yollarla” hedef alarak yaptığını yazdı.
Qurom Cyber, kuruluşların ağ yöneticilerinin yanlışlıkla dağıttıklarına inandıkları meşru araç yerine RAT’ı indirip indirmediğini belirleyebilmeleri için SharpRhino için bir tehlike göstergeleri listesi ekledi. Ayrıca, RAT’ın savunma ve kaçınma, keşif, ayrıcalık yükseltme, yürütme, kalıcılık ve C2 süreçleri için Mitre ATT&CK Eşlemesi sağladı.