勒索软件即服务机构 Hunters International 正在使用一种新的远程访问木马 (RAT)。Quorum Cyber 研究人员发现:“由于使用 C# 编程语言,该恶意软件被命名为 SharpRhino,它通过冒充合法工具 Angry IP Scanner 的域名进行传播。
Angry IP Scanner 是一个 IP 地址和端口扫描器,因此更有可能被 IT 工作者下载和使用。这种特定的针对性可能是试图破坏具有更高权限并可以访问企业网络大多数角落和缝隙的系统和帐户,以便威胁参与者可能会四处乱窜造成很大的损害。
这些目标是如何最终出现在域名被抢注的域名上的,目前尚不清楚,但恶意广告似乎是最有可能的理论。
今年早些时候,一个恶意广告活动同样通过 Google 系统实用程序广告针对 IT 专业人员,并传播了 Nitrogen 恶意软件。
The SharpRhino RAT
包含 RAT 的恶意文件的名称 – ipscan-3.9.1-setup.exe – 使其看起来像是它试图冒充的软件的合法安装程序(俗称 ipscan)。
恶意安装程序的内容(来源:Quorum Cyber)
该文件是一个 NSIS 安装程序,它修改 Windows 注册表以实现持久性,并创建 Microsoft.AnyKey.exe 的快捷方式,然后执行LogUpdate.bat文件。
该文件包含一个 PowerShell 脚本,该脚本编译 C# 代码并将编译后的二进制文件加载到内存中,其中的函数已准备好被调用。
该恶意软件还使用相同的文件建立两个目录,即使找到并删除了其中一个目录,攻击者也可以向 RAT 发送命令。
关于Hunters International
“到目前为止,猎人国际已声称对 2024 年前七个月的 134 起袭击事件负责。作为典型的勒索软件运营商,Hunters International 在加密文件、将文件扩展名更改为 .locked 并留下 README 消息之前从受害组织泄露数据,引导收件人到 TOR 网络上的聊天门户以获取付款说明,“研究人员指出。
其目标主要是位于美洲、欧洲和澳大利亚的组织。该组织避免在受俄罗斯影响的独立国家联合体(CIS)内的组织,这表明该组织与俄罗斯有附属关系。
发表评论
您还未登录,请先登录。
登录