{"id":7070,"date":"2024-08-17T21:40:27","date_gmt":"2024-08-17T19:40:27","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7070"},"modified":"2024-08-17T21:40:27","modified_gmt":"2024-08-17T19:40:27","slug":"sharprhino-rat-napada-it-strucnjake","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2024\/08\/17\/sharprhino-rat-napada-it-strucnjake\/","title":{"rendered":"SharpRhino RAT napada IT stru\u010dnjake"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>SharpRhino<\/em> je novi trojanac za daljinski pristup (eng. <em>remote access trojan \u2013 RAT<\/em>) <a href=\"https:\/\/www.quorumcyber.com\/insights\/sharprhino-new-hunters-international-rat-identified-by-quorum-cyber\/\" target=\"_blank\" rel=\"noopener\">koji je nedavno identifikovan<\/a> u napadima <em>ransomware<\/em> grupe <em>Hunters<\/em> <em>International<\/em>. Ovaj <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> se isporu\u010duje preko <a href=\"https:\/\/sajberinfo.com\/2024\/03\/18\/typosquatting\/\" target=\"_blank\" rel=\"nofollow noopener\">tehnike napada poznata kao gre\u0161aka u kucanju<\/a> (eng. <em>typosquatting<\/em>) domena koji se la\u017eno predstavlja kao <em>Angry<\/em> <em>IP<\/em> <em>Scanner<\/em>, legitimni alat za skeniranje mre\u017ea. Jednom instaliran na sistemu, <em>SharpRhino<\/em> pru\u017ea napada\u010dima preciznu kontrolu i na kraju primjenjuje <em>ransomware <\/em><a href=\"https:\/\/sajberinfo.com\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisni teret<\/a>.<\/span><\/p>\n<div id=\"attachment_7071\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7071\" class=\"size-full wp-image-7071\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SharpRhino-malware.jpg\" alt=\"SharpRhino\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SharpRhino-malware.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SharpRhino-malware-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SharpRhino-malware-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SharpRhino-malware-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SharpRhino-malware-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SharpRhino-malware-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/08\/SharpRhino-malware-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7071\" class=\"wp-caption-text\"><em>SharpRhino RAT napada IT stru\u010dnjake; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"http:\/\/sajberinfo.com\/en\/2024\/08\/17\/sharprhino-rat-napada-it-strucnjake\/#NAPAD_NA_IT_STRUCNJAKE\">NAPAD NA IT STRU\u010cNJAKE<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"http:\/\/sajberinfo.com\/en\/2024\/08\/17\/sharprhino-rat-napada-it-strucnjake\/#SharpRhino_RAT\">SharpRhino RAT<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"http:\/\/sajberinfo.com\/en\/2024\/08\/17\/sharprhino-rat-napada-it-strucnjake\/#Distribucija\">Distribucija<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"http:\/\/sajberinfo.com\/en\/2024\/08\/17\/sharprhino-rat-napada-it-strucnjake\/#Mogucnosti\">Mogu\u0107nosti<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"http:\/\/sajberinfo.com\/en\/2024\/08\/17\/sharprhino-rat-napada-it-strucnjake\/#HUNTERS_INTERNATIONAL_ZLONAMJERNI_AKTER\">HUNTERS INTERNATIONAL ZLONAMJERNI AKTER<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"http:\/\/sajberinfo.com\/en\/2024\/08\/17\/sharprhino-rat-napada-it-strucnjake\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"http:\/\/sajberinfo.com\/en\/2024\/08\/17\/sharprhino-rat-napada-it-strucnjake\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"NAPAD_NA_IT_STRUCNJAKE\"><\/span><strong>NAPAD NA IT STRU\u010cNJAKE<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di kompanije <em>Quorum<\/em> <em>Cyber<\/em> su identifikovali <em>ransomware<\/em> grupu <em>Hunters<\/em> <em>International<\/em> da koristi novi trojanac za daljinski pristup (<em>RAT<\/em>) po imenu <em>SharpRhino<\/em> za ciljanje <em>IT<\/em> stru\u010dnjaka i dobijanje pristupa korporativnim mre\u017eama. Ovaj <a href=\"https:\/\/sajberinfo.com\/2021\/09\/26\/trojan\/\" target=\"_blank\" rel=\"nofollow noopener\">trojanac<\/a> za daljinski poma\u017ee <a href=\"https:\/\/sajberinfo.com\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernim akterima<\/a> da postignu po\u010detnu infekciju, podignu privilegije na kompromitovanim sistemima, izvr\u0161e <em>PowerShell<\/em> komande i na kraju primijene <em>ransomware <\/em>korisni teret.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sprovedena istraga o <em>ransomware <\/em>napadu je omogu\u0107ila identifikaciju varijantu zlonamjernog softvera povezanu sa porodicom zlonamjernog softvera <em>ThunderShell<\/em> koja je pripisana <em>Hunters<\/em> <em>International<\/em> na osnovu uo\u010denih taktika, tehnika i procedura (<em>TTP<\/em>) i identifikacije u bilje\u0161ci o otkupnini. Vjeruje se da je ovo prva upotreba <em>SharpRhino<\/em> zlonamjernog softvera od strane <em>Hunters<\/em> <em>International <\/em>grupe.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"SharpRhino_RAT\"><\/span><strong><em>SharpRhino RAT<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>SharpRhino<\/em>, kao \u0161to ime ka\u017ee, napisan je u <em>C#<\/em> programskom jeziku. Preru\u0161ava se kroz tehniku napada poznatoj kao gre\u0161aka u kucanju gdje opona\u0161a legitimni alat <em>Angry<\/em> <em>IP<\/em> <em>Scanner<\/em>. Nakon izvr\u0161enja, <em>SharpRhino<\/em> uspostavlja postojanost i daje napada\u010dima daljinski pristup kompromitovanom ure\u0111aju. Ovo po\u010detno upori\u0161te se zatim koristi za dalje ciljanje i eksfiltraciju podataka prije <em>ransomware<\/em> primljene.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Upotreba <em>RAT<\/em> zlonamjernog softvera napisanog <em>C# <\/em>\u00a0programskom jeziku kao vektora infekcije nije bila sasvim iznena\u0111uju\u0107a, s obzirom na to da je zlonamjerni softver zasnovan na <em>PowerShell<\/em> okru\u017eenju u porastu posljednjih godina. Me\u0111utim, ono \u0161to <em>SharpRhino<\/em> izdvaja od ostalog <em>RAT<\/em> zlonamjernog softvera je njegova sposobnost da dobije dozvole visokog nivoa na ciljanom sistemu koriste\u0107i ranije nevi\u0111ene tehnike. Ovaj nivo pristupa obezbje\u0111uje minimalne smetnje za zlonamjerne aktere dok napreduju kroz svoje zlonamjerne aktivnosti. Kori\u0161\u0107enje takvih naprednih taktika pokazuje kako se grupe koje rade po modelu <em>ransomware<\/em> kao usluga (eng. <em>ransomware-as-a-service \u2013 RaaS<\/em>) konstantno prilago\u0111avaju i unapre\u0111uju svoje sposobnosti da bi izbjegle otkrivanje i protivmjere.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Distribucija\"><\/span><strong>Distribucija<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>SharpRhino<\/em> se u po\u010detku infiltrira u sisteme maskiraju\u0107i se kao legitimni alat za skeniranje mre\u017ee otvorenog k\u00f4da\u00a0 pod nazivom <em>Angry<\/em> <em>IP<\/em> <em>Scanner<\/em>. Napada\u010di tehniku napada poznatu kao gre\u0161aka u kucanju za domene koje opona\u0161aju ime ovog skenera da distribuiraju svoj zlonamjerni softver. Na primjer, mogli bi da registruju domen kao \u0161to je \u201c<em>angryipscanner[.]com<\/em>\u201d umjesto originalnog, \u0161to je tipi\u010dno \u201cangryip<em>[.]<\/em>org\u201d. Ova tehnika se oslanja na povjerenje korisnika u legitiman softver i mo\u017ee ih navesti da nenamjerno preuzmu i izvr\u0161e zlonamjernu <em>EXE<\/em> datoteku.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jednom preuzet i izvr\u0161en, <em>EXEinfo<\/em> identifikuje <em>SharpRhino<\/em> kao <em>Nullsoft Scriptable Installer System \u2013 NSIS<\/em> upakovanu izvr\u0161nu datoteku. Ova tehnika je uobi\u010dajena zbog \u0161iroke upotrebe i razumijevanja ovih datoteka pomo\u0107u raznih alata za kompresiju kao \u0161to je <em>7-Zip<\/em>. Upotreba pakovanja ote\u017eava <a href=\"https:\/\/sajberinfo.com\/2021\/08\/17\/antivirusni-softver\/\" target=\"_blank\" rel=\"nofollow noopener\">antivirusnim rje\u0161enjima<\/a> da otkriju zlonamjerni sadr\u017eaj unutar <em>EXE<\/em> datoteke, omogu\u0107avaju\u0107i <em>SharpRhino <\/em>zlonamjernom softveru da izbjegne po\u010detne napore u otkrivanju zlonamjernih identifikatora.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Meta zlonamjernog softvera su uglavnom organizacije koje se nalaze u Americi, Evropi i Australiji, dok izbjegava one sa sjedi\u0161tem u Zajednici nezavisnih dr\u017eava pod uticajem Rusije. Ovo sugeri\u0161e povezanost sa Rusijom.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Mogucnosti\"><\/span><strong>Mogu\u0107nosti<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>SharpRhino<\/em> k\u00f4d koristi tehnike koje ranije nisu vi\u0111ene u <em>RAT<\/em> zlonamjernim softverima, \u0161to ga \u010dini zna\u010dajnom brigom za bezbjednosne timove i korisnike. Zlonamjerni softver koristi metode za pove\u0107anje privilegija na kompromitovanim sistemima i omogu\u0107ava napada\u010dima da se <a href=\"https:\/\/sajberinfo.com\/2023\/11\/09\/lateral-movement\/\" target=\"_blank\" rel=\"nofollow noopener\">kre\u0107u bo\u010dno<\/a> bez ikakvih problema. Ove taktike omogu\u0107avaju <em>SharpRhino<\/em> zlonamjernom softveru da uspostavi sna\u017eno upori\u0161te unutar mre\u017ee organizacije, utiru\u0107i put za dalje napade kao \u0161to je primjena <em>ransomware<\/em> zlonamjernog softvera.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Jedan od najintrigantnijih aspekata <em>SharpRhino<\/em> zlonamjernog softvera je njegova upotreba <em>PowerShell<\/em> skripti. Datoteka kojoj su sigurnosni istra\u017eiva\u010di posvetili pa\u017enju pod nazivom \u201c<em>.t<\/em>\u201d datoteka je vi\u0161e <em>PowerShell<\/em> i sadr\u017ei nekoliko redova koji predla\u017eu k\u00f4diranje pomo\u0107u <em>PowerShell<\/em> <em>Secure<\/em> <em>Strings<\/em>, spajanje nizova koji upu\u0107uju na dinami\u010dki povezane biblioteke (eng. <em>Dynamically Linked Libraries \u2013 DLL<\/em>), pravljenje niza za internet adresu i obradu niza za kompajliranje <em>C#<\/em> izvornog k\u00f4da. Ovaj vi\u0161estepeni pristup omogu\u0107ava <em>SharpRhino<\/em> zlonamjernom softveru da zadr\u017ei tajnost dok izvr\u0161ava svoje zlonamjerne aktivnosti na kompromitovanim sistemima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Druga tehnika koju koristi ovaj <em>RAT<\/em> je njegova sposobnost da komunicira sa svojim serverom za komandu i kontrolu (<em>C2<\/em>) koriste\u0107i <em>HTTP<\/em> <em>POST<\/em> zahteve. Demaskiranje <em>C#<\/em> izvornog k\u00f4da je otkrilo da zlonamjerni softver reaguje na dvije tvrdo k\u00f4dirane komande: odlaganje i izlaz. Komanda odlaganja ponovo postavlja mjera\u010d vremena prije nego \u0161to zlonamjerni softver uputi jo\u0161 jedan <em>POST<\/em> zahtev, omogu\u0107avaju\u0107i zlonamjernim akterima da podese frekvenciju svoje komunikacije sa kompromitovanim sistemima. Nasuprot tome, komanda za izlaz prekida petlju odgovornu za slanje ovih zahteva, efektivno prekidaju\u0107i komunikaciju izme\u0111u <em>C2<\/em> servera i inficiranog sistema sistema.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>SharpRhino<\/em> <em>RAT<\/em> je dizajniran da pomogne <em>Hunters<\/em> <em>International<\/em> grupi zlonamjernih aktera da ostvari svoje ciljeve kroz nekoliko faza:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Po\u010detna infekcija: Korisnici su prevareni da preuzmu i pokrenu naizgled legitiman softver koji sadr\u017ei <em>SharpRhino<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Pove\u0107anje privilegija: Zlonamjerni softver koristi nekoliko tehnika za podizanje svojih privilegija na zara\u017eenim sistemima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Komanda i kontrola (C&amp;C): Zlonamjerni softver komunicira sa infrastrukturom napada\u010da za dalja uputstva,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>PowerShell<\/em> komande: <em>SharpRhino<\/em> je sposoban da izvr\u0161i \u0161irok spektar <em>PowerShell<\/em> komandi na zara\u017eenim sistemima,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Ransomware<\/em> primjena: Na kraju, <em>ransomware<\/em> se primjenjuje i \u0161ifruje datoteke sa \u201c<em>.locked<\/em>\u201d ekstenzijama dok ostavlja <em>README<\/em> poruku za uputstva za pla\u0107anje.<\/span><\/li>\n<\/ol>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"HUNTERS_INTERNATIONAL_ZLONAMJERNI_AKTER\"><\/span><strong><em>HUNTERS INTERNATIONAL <\/em>ZLONAMJERNI AKTER<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>Hunters International<\/em> je zapanjuju\u0107i novi zlonamjerni akter na sceni sajber kriminala, koji se hrabro pojavio i brzo pro\u0161irio svoje operacije krajem 2023. godine. Ova neuhvatljiva grupa, \u010dije je poreklo obavijeno velom misterije, ima zapanjuju\u0107e sli\u010dnosti sa na\u010dinom rada ozlogla\u0161ene grupe <em>Hive<\/em> <em>ransomware<\/em> koja uklonjena od strane organa za sprovo\u0111enje zakona. Njihov k\u00f4d, slo\u017eena mre\u017ea zlonamjernih instrukcija, otkrio je zna\u010dajne sli\u010dnosti sa njihovim prethodnicima u <em>Hive <\/em>grupom. Ova intrigantna veza sugeri\u0161e da bi <em>Hunters International<\/em> mogao biti izdanak ili evolucija grupe <em>Hive<\/em>, odlu\u010dna da nastavi naslje\u0111e iznude i haosa u svetu sajber bezbjednosti.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Sa dvostrukom strategijom kao na\u010dinom rada, <em>Hunters International<\/em> cilja i \u0161ifrovanje i eksfiltraciju. \u0160ifruju kriti\u010dne podatke na kompromitovanim sistemima, \u010dine\u0107i ih beskorisnim osim ako nije pla\u0107en otkup. Istovremeno kradu osjetljive informacije iz ovih sistema da bi se koristile za iznudu. Prijetnja od curenja ukradenih podataka na mra\u010dnom internetu se nadvija nad potencijalnim \u017ertvama, dodaju\u0107i dodatni nivo pritiska i hitnosti da se plati. Zdravstvene ustanove su glavne mete zbog svog kriti\u010dnog poslovanja i osjetljive prirode njihovih podataka. Ove organizacije dr\u017ee vrijedne informacije koje bi mogle zna\u010dajno uticati na \u017eivote ljudi ako budu ugro\u017eene ili javno objavljene. Prema dostupnim izvje\u0161tajima za 2024. godinu, \u0161irok domet <em>Hunters International<\/em> grupe bio je o\u010digledan, jer su izvr\u0161ili <em>ransomware <\/em>napade u otprilike 20 zemalja tokom samo jedne godine.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kru\u017eile su glasine o ruskoj vezi zbog obrazaca registracije domena, ali nedosljednosti u njihovoj komunikaciji elektronskom po\u0161tom dovode u sumnju ovu teoriju. Bez obzira na njihovo poreklo, <em>Hunters International<\/em> zlonamjerni akteri predstavljaju zna\u010dajnu prijetnju svojom sposobno\u0161\u0107u da ciljaju i na <em>Windows<\/em> i na <em>Linux<\/em> platforme, zna\u010dajno pro\u0161iruju\u0107i bazu potencijalnih \u017ertava. Poricanje grupe u vezi bilo kakve povezanosti sa <em>Hive <\/em>grupom samo je dodalo jo\u0161 jedan sloj intrige njihovim operacijama.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>SharpRhino<\/em> je novi trojanac za daljinski pristup (<em>RAT<\/em>) koji se pripisuje brzo rastu\u0107oj <em>Hunters International<\/em> koja radi po modelu <em>ransomware<\/em> kao usluga (<em>RaaS<\/em>) Isporu\u010den preko tehnike napada poznata kao gre\u0161aka u kucanju domena koji opona\u0161a <em>Angry<\/em> <em>IP<\/em> <em>Scanner<\/em>, <em>SharpRhino<\/em> uspostavlja postojanost na zara\u017eenom ure\u0111aju dok zlonamjernom akteru pru\u017ea daljinski pristup.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj zlonamjerni softver predstavlja evoluciju u taktikama, tehnikama i procedurama (<em>TTP<\/em>) zlonamjerne grupe aktera <em>Hunters International<\/em>, pokazuju\u0107i njihov kontinuirani napredak i prilago\u0111avanje sposobnosti. <em>SharpRhino<\/em> koristi ranije nevi\u0111ene tehnike da bi dobio visoke nivoe privilegija na ure\u0111aju, omogu\u0107avaju\u0107i zlonamjernom akteru da dalje napreduje u napadu uz minimalno ometanje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Pojava ovako slo\u017eenih <em>RaaS<\/em> operacija omogu\u0107ava manje vje\u0161tim zlonamjernim akterima da sprovode sajber napade i ubiru finansijsku dobit, jer su operacije zlonamjernog softvera pomno osmi\u0161ljene, od po\u010detne interakcije korisnika do komunikacije sa infrastrukturom napada\u010da i kona\u010dnog dobijanja po\u010detnog pristupa. Tu ovaj <em>RAT<\/em> napisan <em>C# <\/em>\u00a0programskom jeziku igra klju\u010dnu ulogu u pomaganju zlonamjernim akterima da dobiju pristup korporativnim mre\u017eama i na kraju primjeni destruktivni teret, \u0161to ga \u010dini osnovnim alatom za svaku modernu operaciju.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Otkri\u0107e ovog zlonamjernog softvera nagla\u0161ava va\u017enost informisanja o novim prijetnjama i ulaganja u sna\u017ene bezbjednosne mjere. Primjenom sna\u017enih bezbjednosnih mjera i a\u017euriranjem najnovijih obavje\u0161tajnih podataka o prijetnjama, organizacije mogu zna\u010dajno da smanje rizik da postanu \u017ertve ovakvih napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Da bi se efikasno za\u0161titile prijetnji <em>SharpRhino <\/em>zlonamjernog softvera, organizacije treba da primjene vi\u0161eslojni bezbjednosni pristup koji se bavi razli\u010ditim aspektima <em>IT<\/em> infrastrukture. Evo nekoliko preporu\u010denih koraka:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Obu\u010diti zaposlene o bezbjednosti elektronske po\u0161te i omogu\u0107iti filtere za ne\u017eeljenu po\u0161tu da bi se blokirale sumnjive elektronske poruke. Koristite mre\u017ene prolaze za elektronsku po\u0161tu (eng. <em>email gateways<\/em>) sa naprednim mogu\u0107nostima za\u0161tite od prijetnji da bi se otkrili i filtrirali zlonamjerni prilozi ili veze, kao \u0161to je <em>SharpRhino<\/em> instalacija preru\u0161ena kao legitiman mre\u017eni alat,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primjenjivati bezbjednosna rje\u0161enja za za\u0161titu krajnjih ure\u0111aja koja mogu da identifikuju i sprije\u010de izvr\u0161avanje digitalno potpisanih datoteka koje sadr\u017ee skrivene prijetnje kao \u0161to je <em>SharpRhino<\/em> <em>RAT<\/em>,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati alate za prac\u0301enje sistemskih registara kako bi se otkrile neovla\u0161tene izmjene kao i redovno pregledanje i a\u017euriranje pode\u0161avanja sistemskih registara sistema da bi se odr\u017eala bezbjednost,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Segmentirati mre\u017eu na podmre\u017ee i primijeniti politike kontrole pristupa na osnovu principa najmanje privilegija. Koristite za\u0161titne zidove i sisteme za otkrivanje upada (eng. <em>intrusion detection systems \u2013 IDS<\/em>) za nadzor saobra\u0107aja, blokiranje neovla\u0161tenih veza i za upozoravanje kada se otkrije anomalna aktivnost,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno praviti <a href=\"https:\/\/sajberinfo.com\/2020\/11\/02\/rezervna-kopija-i-cuvanje-podataka\/\" target=\"_blank\" rel=\"nofollow noopener\">rezervne kopije<\/a> kriti\u010dnih podataka van lokacije ili u usluzi u oblaku sa jakim mogu\u0107nostima <a href=\"https:\/\/sajberinfo.com\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja<\/a>. Osigurati da strategija pravljenja rezervnih kopija uklju\u010duje redovno testiranje procesa oporavka,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obu\u010diti zaposlene o praksama bezbjednog pregledanja, upravljanju <a href=\"https:\/\/sajberinfo.com\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinkama<\/a> i taktikama dru\u0161tvenog in\u017eenjeringa koje koriste zlonamjerni akteri. Podstaknuti ih da prijave svu sumnjivu elektronsku po\u0161tu, datoteke ili aktivnosti na mre\u017ei,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Razvijati <a href=\"https:\/\/sajberinfo.com\/2020\/10\/26\/plan-odgovora-na-sajber-prijetnju\/\" target=\"_blank\" rel=\"nofollow noopener\">Plan odgovora na sajber prijetnju<\/a> koji opisuje jasne korake za otkrivanje, obuzdavanje, iskorjenjivanje i oporavak od <em>ransomware<\/em><em> napada<\/em>. Uvjeriti se da su svi zaposleni obu\u010deni o svojim ulogama i odgovornostima tokom incidenta i redovno testirati plan kroz vje\u017ebe na stolu ili simulirane napade da bi se identifikovale sve slabosti i pobolj\u0161ala op\u0161ta spremnost,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Odr\u017eavati sav softver a\u017eurnim sa najnovijim ispravkama kako bi se smanjile ranjivosti koje koristi <em>SharpRhino<\/em> ili sli\u010dne prijetnje. Davati prioritet kriti\u010dnim a\u017euriranjima i primjenjivati ih \u0161to je pre moguc\u0301e,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Primijeniti smjernice za listu dozvoljenih aplikacija koja \u0107e omogu\u0107iti samo odobrenim aplikacijama da se pokre\u0107u na ure\u0111ajima, spre\u010davaju\u0107i neovla\u0161tene izvr\u0161ne datoteke kao \u0161to je <em>SharpRhino<\/em> da inficira ure\u0111aj i dobije pristup mre\u017ei,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Omogu\u0107iti autentifikaciju u vi\u0161e koraka (eng. <em>Multi-Factor Authentication \u2013 MFA<\/em>) za sve kriti\u010dne naloge i usluge radi za\u0161tite od kra\u0111e lozinki ili napada grubom silom (eng. <em>brute<\/em> <em>force<\/em> <em>attack<\/em>). Ovo dodaje dodatni sloj bezbjednosti koji mo\u017ee pomo\u0107i u spre\u010davanju ransomware infekcija, kao \u0161to su one koje mo\u017ee izazvati <em>SharpRhino<\/em> <em>RAT<\/em>.<\/span><\/li>\n<\/ol>\n","protected":false},"excerpt":{"rendered":"<p>SharpRhino je novi trojanac za daljinski pristup (eng. remote access trojan \u2013 RAT) koji je nedavno identifikovan u napadima ransomware grupe Hunters International. Ovaj zlonamjerni softver se isporu\u010duje preko tehnike napada poznata kao gre\u0161aka&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7071,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[1965,1963,1959,1961,1521,1960,1964,1962,1958,881],"class_list":["post-7070","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-americas-europe-australia-targeted","tag-angry-ip-scanner-impersonation","tag-hunters-international","tag-it-workers","tag-powershell-scripts","tag-ransomware-attacks","tag-ransomware-payload-deployment","tag-remote-access-trojan-rat","tag-sharprhino-malware","tag-typosquatting"],"_links":{"self":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7070","targetHints":{"allow":["GET"]}}],"collection":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7070"}],"version-history":[{"count":0,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7070\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7071"}],"wp:attachment":[{"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7070"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7070"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7070"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}