گروه باجافزاری Hunters International، با استفاده از بدافزار جدیدی به نام SharpRhino، که یک تروجان دسترسی از راه دور(RAT) نوشتهشده به زبان C# است، متخصصان فناوری اطلاعات را هدف قرار داده تا به شبکههای سازمانی نفوذ کند. این بدافزار به گروه مهاجم کمک میکند تا ابتدا وارد سیستمهای هدف شده، سپس با افزایش دسترسی خود، فرمانهای PowerShell را اجرا کرده و در نهایت payload باجافزار را پیادهسازی کند.
محققان گزارش دادهاند که SharpRhino از طریق یک سایت فیشینگ که یک نمونهی جعلی از وبسایت ابزار معتبر اسکن IP به نام Angry IP Scanner است، توزیع میشود. این سایت جعلی با استفاده از روش Typosquatting ساخته شده است. Typosquatting به معنی استفاده از نام دامنههای جعلی است که با یک خطای تایپی کوچک مشابه دامنههای معتبر به نظر میرسند. این گروه، در مدت زمان کوتاهی از زمان راهاندازی خود، موفق به اجرای چندین حملهی سایبری به تعداد قابلتوجهی از شرکتهای مطرح و مهم شده است.
فرآیند انتشار و عملکرد SharpRhino بدین صورت است که بدافزار به عنوان یک نصبکننده ۳۲ بیتی با امضای دیجیتال “ipscan-3.9.1-setup.exe” توزیع میشود که حاوی یک آرشیو 7z رمزگذاریشده است. آرشیو 7z یک فرمت فایل فشرده است. وقتی یک آرشیو 7z رمزگذاری میشود، محتوای فایلهای درون آن با استفاده از یک الگوریتم رمزنگاری (معمولاً AES-256) محافظت میشود و بدون داشتن رمز عبور صحیح، دسترسی به محتوای فایلها غیرممکن خواهد بود. مهاجمان از آرشیوهای 7z رمزگذاری شده به عنوان یک روش برای پنهانسازی فایلهای مخرب استفاده میکنند. با قراردادن آرشیو در یک نصبکننده یا ابزار جعلی، وقتی کاربر فایل نصب را اجرا میکند، فایلهای مخرب بهطور مخفیانه و خودکار روی سیستم قربانی اجرا میشود و همین مسئله کار را برای نرمافزارهای امنیتی و شناسایی تهدید دشوار میسازد.
نصبکننده “ipscan-3.9.1-setup.exe” برای حفظ دسترسی دائمی، رجیستری ویندوز را تغییر میدهد و یک میانبر برای فایل Microsoft.AnyKey.exe ایجاد میکند. این فایل که در حالت عادی متعلق به Microsoft Visual Studio است، در این حمله برای اهداف مخرب مورد استفاده قرار میگیرد.
علاوه بر این، “ipscan-3.9.1-setup.exe” از فایلهای دیگری از جمله “LogUpdate.bat” برای اجرای کدهای مخرب به صورت مخفیانه استفاده کرده و از طریق دو دایرکتوری “C:\ProgramData\Microsoft:WindowsUpdater24” و “C:\ProgramData\Microsoft:LogUpdateWindows” و دو دستور سختکد شدهی delay و exit برای ارتباط با سرور عملیات و فرمان (C2) و تنظیم زمانبندی درخواستهای POST بعدی و خاتمه دادن به ارتباط با سرور C2 استفاده میکند.
گروهی که بدافزار را کشف کردند، برای امتحان، با استفاده از SharpRhino و اجرای دستورات PowerShell به راحتی توانستند ماشین حساب ویندوز را اجرا و از آن استفاده کنند که نشاندهندهی این است که مهاجمان با نصب موفقیتآمیز این تروجان، خواهند توانست بسته به سطح دسترسی بدست آمده، کنترل کامل سیستم هدف را بدست بگیرند.
محصولات تحت تاثیر
این بدافزار بهطور عمده بر روی کارمندان بخش فناوری اطلاعات (IT) متمرکز است، زیرا این افراد دسترسیهای بالایی به شبکههای سازمانی و اطلاعات حساس دارند. بنابراین SharpRhino تهدیدی جدی برای سازمانهایی است که در آنها دستیابی به اطلاعات حساس و سطح بالایی از نفوذ به شبکهها میتواند تأثیرات گسترده و مخرب داشته باشد.
توصیههای امنیتی
با توجه به حملات پیچیده و استفاده از تکنیکهای جدید، توصیه میشود که کاربران و سازمانها دقت بیشتری در دانلود نرمافزارها از منابع غیررسمی داشته باشند. همچنین باید اقدامات امنیتی مانند تقسیمبندی شبکه، بروزرسانی نرمافزارها و ایجاد برنامههای پشتیبانگیری را بهمنظور کاهش احتمال دسترسی و حرکت جانبی مهاجمان، در نظر بگیرند.
فعالسازی مسدودکنندههای تبلیغات و برخورد محتاطانه دربرابر تبلیغات مخرب (Malvertising) و اجتناب از کلیک روی نتایج جستجوی تبلیغاتی نیز از اهمیت بالایی برخوردار است.
منبع خبر:
https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-gang-targets-it-wor…
- 95