シャープライノRAT
Hunters International Ransomware グループは、IT ワーカーをターゲットにして企業ネットワークに侵入するための新しい C# リモート アクセス トロイの木馬 (RAT) SharpRhino を開発しました。このマルウェアは、最初の感染、侵害されたシステムでの権限昇格、PowerShell コマンドの実行、そして最終的にはランサムウェアの展開を容易にします。
サイバーセキュリティ研究者は、このマルウェアが、IT専門家が使用する人気のネットワークツールであるAngry IP ScannerのWebサイトを模倣したタイポスクワッティングサイトを通じて拡散していることを突き止めました。
目次
以前のサイバー犯罪グループのブランド変更の可能性
2023年後半に開始されたランサムウェア攻撃「ハンターズ・インターナショナル」は、コードの類似性からHiveのブランド名変更ではないかと疑われている。注目すべき被害者には、米海軍の請負業者であるオースタルUSA、日本の光学機器大手HOYA、インテグリス・ヘルス、フレッド・ハッチがんセンターなどがあり、同グループの倫理的境界の無視が浮き彫りになっている。
2024年、このグループは世界中の組織(CIS地域の組織を除く)に対する134件のランサムウェア攻撃の犯行声明を出し、今年最も活発なランサムウェアグループの10位となった。
SharpRhino RAT はどのように動作するのでしょうか?
SharpRhino は、デジタル署名された 32 ビット インストーラー (「ipscan-3.9.1-setup.exe」) として配布されます。このインストーラーには、感染プロセスに必要な追加ファイルを含む、自己解凍型のパスワード保護された 7z アーカイブが含まれています。インストール時に、このソフトウェアは永続性のために Windows レジストリを変更し、このコンテキストで悪用される Microsoft Visual Studio バイナリである Microsoft.AnyKey.exe へのショートカットを作成します。
インストーラーは、「LogUpdate.bat」もドロップします。これはデバイス上で PowerShell スクリプトを実行し、C# コードをメモリにコンパイルして、ステルス型のマルウェア実行を可能にします。冗長性のために、インストーラーは「C:\ProgramData\Microsoft: WindowsUpdater24」と「LogUpdateWindows」という 2 つのディレクトリを作成します。どちらもコマンド アンド コントロール (C2) 通信に使用されます。
このマルウェアには、コマンドを取得するための次の POST 要求のタイマーを設定する「delay」と、通信を終了する「exit」という 2 つのハードコードされたコマンドがあります。分析により、このマルウェアはホスト上で PowerShell コマンドを実行し、さまざまな有害なアクションを実行できることが明らかになりました。
サイバー犯罪者は正規のツールを模倣した偽サイトを使用する
ハンターズ・インターナショナルは、正規のオープンソース・ネットワーク・スキャン・ツールを模倣したウェブサイトを使用してIT専門家をターゲットにし、高い権限を持つアカウントに侵入するという新しい戦略を採用しました。
ユーザーは、マルバタイジングを避けるためにスポンサー付きの検索結果に注意し、広告ブロッカーを使用してこれらの結果が表示されないようにし、安全なインストーラーを提供することで知られる公式プロジェクトサイトをブックマークする必要があります。ランサムウェア攻撃の影響を弱めるには、堅牢なバックアップ計画を実装し、ネットワークセグメンテーションを実施し、すべてのソフトウェアを最新の状態に維持して、権限の昇格と横方向の移動の機会を最小限に抑えます。
