هدف قرار گرفتن متخصصان IT با بدافزار SharpRhino

گروه باج‌افزاری Hunters International، با استفاده از بدافزار جدیدی به نام SharpRhino، که یک تروجان دسترسی از راه دور(RAT) نوشته‌شده به زبان C# است، متخصصان فناوری اطلاعات را هدف قرار داده تا به شبکه‌های سازمانی نفوذ کند. این بدافزار به گروه مهاجم کمک می‌کند تا ابتدا وارد سیستم‌های هدف شده، سپس با افزایش دسترسی خود، فرمان‌های PowerShell را اجرا کرده و در نهایت payload باج‌افزار را پیاده‌سازی کند.
محققان گزارش داده‌اند که SharpRhino از طریق یک سایت فیشینگ که یک نمونه‌ی جعلی از وب‌سایت ابزار معتبر اسکن IP به نام Angry IP Scanner است، توزیع می‌شود. این سایت جعلی با استفاده از روش Typosquatting ساخته شده است. Typosquatting به معنی استفاده از نام دامنه‌های جعلی است که با یک خطای تایپی کوچک مشابه دامنه‌های معتبر به نظر می‌رسند. این گروه، در مدت زمان کوتاهی از زمان راه‌اندازی خود، موفق به اجرای چندین حمله‌ی سایبری به تعداد قابل‌توجهی از شرکت‌های مطرح و مهم شده ‌است.
فرآیند انتشار و عملکرد SharpRhino بدین صورت است که بدافزار به ‌عنوان یک نصب‌کننده ۳۲ بیتی با امضای دیجیتال “ipscan-3.9.1-setup.exe” توزیع می‌شود که حاوی یک آرشیو 7z رمزگذاری‌شده است. آرشیو 7z یک فرمت فایل فشرده است. وقتی یک آرشیو 7z رمزگذاری می‌شود، محتوای فایل‌های درون آن با استفاده از یک الگوریتم رمزنگاری (معمولاً AES-256) محافظت می‌شود و بدون داشتن رمز عبور صحیح، دسترسی به محتوای فایل‌ها غیرممکن خواهد بود. مهاجمان از آرشیوهای 7z رمزگذاری‌ شده به عنوان یک روش برای پنهان‌سازی فایل‌های مخرب استفاده می‌کنند. با قراردادن آرشیو در یک نصب‌کننده یا ابزار جعلی، وقتی کاربر فایل نصب را اجرا می‌کند، فایل‌های مخرب  به‌طور مخفیانه و خودکار روی سیستم قربانی اجرا می‌شود و همین ‌مسئله کار را برای نرم‌افزارهای امنیتی و شناسایی تهدید دشوار می‌سازد.
نصب‌کننده “ipscan-3.9.1-setup.exe” برای حفظ دسترسی دائمی، رجیستری ویندوز را تغییر می‌دهد و یک میانبر برای فایل Microsoft.AnyKey.exe ایجاد می‌کند. این فایل که در حالت عادی متعلق به Microsoft Visual Studio است، در این حمله برای اهداف مخرب مورد استفاده قرار می‌گیرد.
علاوه بر این، “ipscan-3.9.1-setup.exe” از فایل‌های دیگری از جمله “LogUpdate.bat” برای اجرای کدهای مخرب به ‌صورت مخفیانه استفاده کرده و از طریق دو دایرکتوری “C:\ProgramData\Microsoft:WindowsUpdater24” و  “C:\ProgramData\Microsoft:LogUpdateWindows” و دو دستور سخت‌کد شده‌ی delay و exit برای ارتباط با سرور عملیات و فرمان (C2) و تنظیم زمان‌بندی درخواست‌های POST بعدی و خاتمه دادن به ارتباط با سرور C2 استفاده می‌کند.
گروهی که بدافزار را کشف کردند، برای امتحان، با استفاده از SharpRhino و اجرای دستورات PowerShell به راحتی توانستند ماشین حساب ویندوز را اجرا و از آن استفاده کنند که نشان‌دهنده‌ی این است که مهاجمان با نصب موفقیت‌آمیز این تروجان، خواهند توانست بسته به سطح دسترسی بدست آمده، کنترل کامل سیستم هدف را بدست بگیرند.

محصولات تحت تاثیر
این بدافزار به‌طور عمده بر روی کارمندان بخش فناوری اطلاعات (IT) متمرکز است، زیرا این افراد دسترسی‌های بالایی به شبکه‌های سازمانی و اطلاعات حساس دارند. بنابراین SharpRhino تهدیدی جدی برای سازمان‌هایی است که در آن‌ها دستیابی به اطلاعات حساس و سطح بالایی از نفوذ به شبکه‌ها می‌تواند تأثیرات گسترده و مخرب داشته باشد.

توصیه‌های امنیتی
با توجه به حملات پیچیده و استفاده از تکنیک‌های جدید، توصیه می‌شود که کاربران و سازمان‌ها دقت بیشتری در دانلود نرم‌افزارها از منابع غیررسمی داشته باشند. همچنین باید اقدامات امنیتی مانند تقسیم‌بندی شبکه، بروزرسانی نرم‌افزارها و ایجاد برنامه‌های پشتیبان‌گیری را به‌منظور کاهش احتمال دسترسی و حرکت جانبی مهاجمان، در نظر بگیرند.
فعال‌سازی مسدودکننده‌های تبلیغات و برخورد محتاطانه دربرابر تبلیغات مخرب (Malvertising) و اجتناب از کلیک روی نتایج جستجوی تبلیغاتی نیز از اهمیت بالایی برخوردار است.
 

منبع خبر:

https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-gang-targets-it-wor…