SharpRhino RAT napada IT stručnjake

AUTOR ·

SharpRhino je novi trojanac za daljinski pristup (eng. remote access trojan – RAT) koji je nedavno identifikovan u napadima ransomware grupe Hunters International. Ovaj zlonamjerni softver se isporučuje preko tehnike napada poznata kao grešaka u kucanju (eng. typosquatting) domena koji se lažno predstavlja kao Angry IP Scanner, legitimni alat za skeniranje mreža. Jednom instaliran na sistemu, SharpRhino pruža napadačima preciznu kontrolu i na kraju primjenjuje ransomware korisni teret.

SharpRhino

SharpRhino RAT napada IT stručnjake; Source: Bing Image Creator

NAPAD NA IT STRUČNJAKE

Sigurnosni istraživači kompanije Quorum Cyber su identifikovali ransomware grupu Hunters International da koristi novi trojanac za daljinski pristup (RAT) po imenu SharpRhino za ciljanje IT stručnjaka i dobijanje pristupa korporativnim mrežama. Ovaj trojanac za daljinski pomaže zlonamjernim akterima da postignu početnu infekciju, podignu privilegije na kompromitovanim sistemima, izvrše PowerShell komande i na kraju primijene ransomware korisni teret.

Sprovedena istraga o ransomware napadu je omogućila identifikaciju varijantu zlonamjernog softvera povezanu sa porodicom zlonamjernog softvera ThunderShell koja je pripisana Hunters International na osnovu uočenih taktika, tehnika i procedura (TTP) i identifikacije u bilješci o otkupnini. Vjeruje se da je ovo prva upotreba SharpRhino zlonamjernog softvera od strane Hunters International grupe.

 

SharpRhino RAT

SharpRhino, kao što ime kaže, napisan je u C# programskom jeziku. Prerušava se kroz tehniku napada poznatoj kao grešaka u kucanju gdje oponaša legitimni alat Angry IP Scanner. Nakon izvršenja, SharpRhino uspostavlja postojanost i daje napadačima daljinski pristup kompromitovanom uređaju. Ovo početno uporište se zatim koristi za dalje ciljanje i eksfiltraciju podataka prije ransomware primljene.

Upotreba RAT zlonamjernog softvera napisanog C#  programskom jeziku kao vektora infekcije nije bila sasvim iznenađujuća, s obzirom na to da je zlonamjerni softver zasnovan na PowerShell okruženju u porastu posljednjih godina. Međutim, ono što SharpRhino izdvaja od ostalog RAT zlonamjernog softvera je njegova sposobnost da dobije dozvole visokog nivoa na ciljanom sistemu koristeći ranije neviđene tehnike. Ovaj nivo pristupa obezbjeđuje minimalne smetnje za zlonamjerne aktere dok napreduju kroz svoje zlonamjerne aktivnosti. Korišćenje takvih naprednih taktika pokazuje kako se grupe koje rade po modelu ransomware kao usluga (eng. ransomware-as-a-service – RaaS) konstantno prilagođavaju i unapređuju svoje sposobnosti da bi izbjegle otkrivanje i protivmjere.

 

Distribucija

SharpRhino se u početku infiltrira u sisteme maskirajući se kao legitimni alat za skeniranje mreže otvorenog kôda  pod nazivom Angry IP Scanner. Napadači tehniku napada poznatu kao grešaka u kucanju za domene koje oponašaju ime ovog skenera da distribuiraju svoj zlonamjerni softver. Na primjer, mogli bi da registruju domen kao što je “angryipscanner[.]com” umjesto originalnog, što je tipično “angryip[.]org”. Ova tehnika se oslanja na povjerenje korisnika u legitiman softver i može ih navesti da nenamjerno preuzmu i izvrše zlonamjernu EXE datoteku.

Jednom preuzet i izvršen, EXEinfo identifikuje SharpRhino kao Nullsoft Scriptable Installer System – NSIS upakovanu izvršnu datoteku. Ova tehnika je uobičajena zbog široke upotrebe i razumijevanja ovih datoteka pomoću raznih alata za kompresiju kao što je 7-Zip. Upotreba pakovanja otežava antivirusnim rješenjima da otkriju zlonamjerni sadržaj unutar EXE datoteke, omogućavajući SharpRhino zlonamjernom softveru da izbjegne početne napore u otkrivanju zlonamjernih identifikatora.

Meta zlonamjernog softvera su uglavnom organizacije koje se nalaze u Americi, Evropi i Australiji, dok izbjegava one sa sjedištem u Zajednici nezavisnih država pod uticajem Rusije. Ovo sugeriše povezanost sa Rusijom.

 

Mogućnosti

SharpRhino kôd koristi tehnike koje ranije nisu viđene u RAT zlonamjernim softverima, što ga čini značajnom brigom za bezbjednosne timove i korisnike. Zlonamjerni softver koristi metode za povećanje privilegija na kompromitovanim sistemima i omogućava napadačima da se kreću bočno bez ikakvih problema. Ove taktike omogućavaju SharpRhino zlonamjernom softveru da uspostavi snažno uporište unutar mreže organizacije, utirući put za dalje napade kao što je primjena ransomware zlonamjernog softvera.

Jedan od najintrigantnijih aspekata SharpRhino zlonamjernog softvera je njegova upotreba PowerShell skripti. Datoteka kojoj su sigurnosni istraživači posvetili pažnju pod nazivom “.t” datoteka je više PowerShell i sadrži nekoliko redova koji predlažu kôdiranje pomoću PowerShell Secure Strings, spajanje nizova koji upućuju na dinamički povezane biblioteke (eng. Dynamically Linked Libraries – DLL), pravljenje niza za internet adresu i obradu niza za kompajliranje C# izvornog kôda. Ovaj višestepeni pristup omogućava SharpRhino zlonamjernom softveru da zadrži tajnost dok izvršava svoje zlonamjerne aktivnosti na kompromitovanim sistemima.

Druga tehnika koju koristi ovaj RAT je njegova sposobnost da komunicira sa svojim serverom za komandu i kontrolu (C2) koristeći HTTP POST zahteve. Demaskiranje C# izvornog kôda je otkrilo da zlonamjerni softver reaguje na dvije tvrdo kôdirane komande: odlaganje i izlaz. Komanda odlaganja ponovo postavlja mjerač vremena prije nego što zlonamjerni softver uputi još jedan POST zahtev, omogućavajući zlonamjernim akterima da podese frekvenciju svoje komunikacije sa kompromitovanim sistemima. Nasuprot tome, komanda za izlaz prekida petlju odgovornu za slanje ovih zahteva, efektivno prekidajući komunikaciju između C2 servera i inficiranog sistema sistema.

SharpRhino RAT je dizajniran da pomogne Hunters International grupi zlonamjernih aktera da ostvari svoje ciljeve kroz nekoliko faza:

  1. Početna infekcija: Korisnici su prevareni da preuzmu i pokrenu naizgled legitiman softver koji sadrži SharpRhino,
  2. Povećanje privilegija: Zlonamjerni softver koristi nekoliko tehnika za podizanje svojih privilegija na zaraženim sistemima,
  3. Komanda i kontrola (C&C): Zlonamjerni softver komunicira sa infrastrukturom napadača za dalja uputstva,
  4. PowerShell komande: SharpRhino je sposoban da izvrši širok spektar PowerShell komandi na zaraženim sistemima,
  5. Ransomware primjena: Na kraju, ransomware se primjenjuje i šifruje datoteke sa “.locked” ekstenzijama dok ostavlja README poruku za uputstva za plaćanje.

 

HUNTERS INTERNATIONAL ZLONAMJERNI AKTER

Hunters International je zapanjujući novi zlonamjerni akter na sceni sajber kriminala, koji se hrabro pojavio i brzo proširio svoje operacije krajem 2023. godine. Ova neuhvatljiva grupa, čije je poreklo obavijeno velom misterije, ima zapanjujuće sličnosti sa načinom rada ozloglašene grupe Hive ransomware koja uklonjena od strane organa za sprovođenje zakona. Njihov kôd, složena mreža zlonamjernih instrukcija, otkrio je značajne sličnosti sa njihovim prethodnicima u Hive grupom. Ova intrigantna veza sugeriše da bi Hunters International mogao biti izdanak ili evolucija grupe Hive, odlučna da nastavi nasljeđe iznude i haosa u svetu sajber bezbjednosti.

Sa dvostrukom strategijom kao načinom rada, Hunters International cilja i šifrovanje i eksfiltraciju. Šifruju kritične podatke na kompromitovanim sistemima, čineći ih beskorisnim osim ako nije plaćen otkup. Istovremeno kradu osjetljive informacije iz ovih sistema da bi se koristile za iznudu. Prijetnja od curenja ukradenih podataka na mračnom internetu se nadvija nad potencijalnim žrtvama, dodajući dodatni nivo pritiska i hitnosti da se plati. Zdravstvene ustanove su glavne mete zbog svog kritičnog poslovanja i osjetljive prirode njihovih podataka. Ove organizacije drže vrijedne informacije koje bi mogle značajno uticati na živote ljudi ako budu ugrožene ili javno objavljene. Prema dostupnim izvještajima za 2024. godinu, širok domet Hunters International grupe bio je očigledan, jer su izvršili ransomware napade u otprilike 20 zemalja tokom samo jedne godine.

Kružile su glasine o ruskoj vezi zbog obrazaca registracije domena, ali nedosljednosti u njihovoj komunikaciji elektronskom poštom dovode u sumnju ovu teoriju. Bez obzira na njihovo poreklo, Hunters International zlonamjerni akteri predstavljaju značajnu prijetnju svojom sposobnošću da ciljaju i na Windows i na Linux platforme, značajno proširujući bazu potencijalnih žrtava. Poricanje grupe u vezi bilo kakve povezanosti sa Hive grupom samo je dodalo još jedan sloj intrige njihovim operacijama.

 

ZAKLJUČAK

SharpRhino je novi trojanac za daljinski pristup (RAT) koji se pripisuje brzo rastućoj Hunters International koja radi po modelu ransomware kao usluga (RaaS) Isporučen preko tehnike napada poznata kao grešaka u kucanju domena koji oponaša Angry IP Scanner, SharpRhino uspostavlja postojanost na zaraženom uređaju dok zlonamjernom akteru pruža daljinski pristup.

Ovaj zlonamjerni softver predstavlja evoluciju u taktikama, tehnikama i procedurama (TTP) zlonamjerne grupe aktera Hunters International, pokazujući njihov kontinuirani napredak i prilagođavanje sposobnosti. SharpRhino koristi ranije neviđene tehnike da bi dobio visoke nivoe privilegija na uređaju, omogućavajući zlonamjernom akteru da dalje napreduje u napadu uz minimalno ometanje.

Pojava ovako složenih RaaS operacija omogućava manje vještim zlonamjernim akterima da sprovode sajber napade i ubiru finansijsku dobit, jer su operacije zlonamjernog softvera pomno osmišljene, od početne interakcije korisnika do komunikacije sa infrastrukturom napadača i konačnog dobijanja početnog pristupa. Tu ovaj RAT napisan C#  programskom jeziku igra ključnu ulogu u pomaganju zlonamjernim akterima da dobiju pristup korporativnim mrežama i na kraju primjeni destruktivni teret, što ga čini osnovnim alatom za svaku modernu operaciju.

Otkriće ovog zlonamjernog softvera naglašava važnost informisanja o novim prijetnjama i ulaganja u snažne bezbjednosne mjere. Primjenom snažnih bezbjednosnih mjera i ažuriranjem najnovijih obavještajnih podataka o prijetnjama, organizacije mogu značajno da smanje rizik da postanu žrtve ovakvih napada.

 

ZAŠTITA

Da bi se efikasno zaštitile prijetnji SharpRhino zlonamjernog softvera, organizacije treba da primjene višeslojni bezbjednosni pristup koji se bavi različitim aspektima IT infrastrukture. Evo nekoliko preporučenih koraka:

  1. Obučiti zaposlene o bezbjednosti elektronske pošte i omogućiti filtere za neželjenu poštu da bi se blokirale sumnjive elektronske poruke. Koristite mrežne prolaze za elektronsku poštu (eng. email gateways) sa naprednim mogućnostima zaštite od prijetnji da bi se otkrili i filtrirali zlonamjerni prilozi ili veze, kao što je SharpRhino instalacija prerušena kao legitiman mrežni alat,
  2. Primjenjivati bezbjednosna rješenja za zaštitu krajnjih uređaja koja mogu da identifikuju i spriječe izvršavanje digitalno potpisanih datoteka koje sadrže skrivene prijetnje kao što je SharpRhino RAT,
  3. Implementirati alate za praćenje sistemskih registara kako bi se otkrile neovlaštene izmjene kao i redovno pregledanje i ažuriranje podešavanja sistemskih registara sistema da bi se održala bezbjednost,
  4. Segmentirati mrežu na podmreže i primijeniti politike kontrole pristupa na osnovu principa najmanje privilegija. Koristite zaštitne zidove i sisteme za otkrivanje upada (eng. intrusion detection systems – IDS) za nadzor saobraćaja, blokiranje neovlaštenih veza i za upozoravanje kada se otkrije anomalna aktivnost,
  5. Redovno praviti rezervne kopije kritičnih podataka van lokacije ili u usluzi u oblaku sa jakim mogućnostima šifrovanja. Osigurati da strategija pravljenja rezervnih kopija uključuje redovno testiranje procesa oporavka,
  6. Obučiti zaposlene o praksama bezbjednog pregledanja, upravljanju lozinkama i taktikama društvenog inženjeringa koje koriste zlonamjerni akteri. Podstaknuti ih da prijave svu sumnjivu elektronsku poštu, datoteke ili aktivnosti na mreži,
  7. Razvijati Plan odgovora na sajber prijetnju koji opisuje jasne korake za otkrivanje, obuzdavanje, iskorjenjivanje i oporavak od ransomware napada. Uvjeriti se da su svi zaposleni obučeni o svojim ulogama i odgovornostima tokom incidenta i redovno testirati plan kroz vježbe na stolu ili simulirane napade da bi se identifikovale sve slabosti i poboljšala opšta spremnost,
  8. Održavati sav softver ažurnim sa najnovijim ispravkama kako bi se smanjile ranjivosti koje koristi SharpRhino ili slične prijetnje. Davati prioritet kritičnim ažuriranjima i primjenjivati ih što je pre moguće,
  9. Primijeniti smjernice za listu dozvoljenih aplikacija koja će omogućiti samo odobrenim aplikacijama da se pokreću na uređajima, sprečavajući neovlaštene izvršne datoteke kao što je SharpRhino da inficira uređaj i dobije pristup mreži,
  10. Omogućiti autentifikaciju u više koraka (eng. Multi-Factor Authentication – MFA) za sve kritične naloge i usluge radi zaštite od krađe lozinki ili napada grubom silom (eng. brute force attack). Ovo dodaje dodatni sloj bezbjednosti koji može pomoći u sprečavanju ransomware infekcija, kao što su one koje može izazvati SharpRhino RAT.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.