Представители хакерской группировки Hunters International проводят атаки против IT-специалистов с использованием нового трояна удалённого доступа (RAT) под названием SharpRhino, написанного на языке C#. Этот троян используется для взлома корпоративных сетей. Об этом накануне рассказали специалисты по кибербезопасности компании Quorum Cyber.
По словам экспертов, вредоносное ПО помогает хакерам выполнить первоначальное заражение, повысить свои привилегии в атакуемых системах, выполнить команды PowerShell и в итоге развернуть различную вредоносную нагрузку в скомпрометированных сетях. Эксперты также отмечают, что распространением этого вредоносного ПО занимается специальный сайт-типосквоттер, выдающий себя за веб-сайт Angry IP Scanner – реального и популярного сетевого инструмента, используемого IT-специалистами.
Вредонос SharpRhino распространяется в качестве 32-разрядного установщика с цифровой подписью (ipscan-3.9.1-setup.exe). В нём содержится самораспаковывающийся защищённый паролем архив 7z с множеством файлов для выполнения заражения.
Установщик вносит корректировки в реестр Windows для обеспечения своей сохранности и создаёт ярлык для Microsoft.AnyKey.exe, исполняемого файла Microsoft Visual Studio, который в этой ситуации применяется не по назначению. Помимо этого, установщик загружает и инсталлирует файл «LogUpdate.bat», запускающий на скомпрометированном ПК скрипты PowerShell для компиляции C# в память для скрытого выполнения вредоносного софта.
Анализ программы экспертами Quorum Cyber показал, что вредоносное ПО способно запускать PowerShell на хосте, что может применяться для осуществления всевозможных опасных действий.По словам аналитиков Quorum Cyber, новая тактика хакерской группы Hunters International по развертыванию веб-ресурсов, на которых якобы присутствуют легитимные инструменты сканирования сетей с открытым исходным кодом, говорит о том, что злоумышленники нацелены на IT-специалистов в надежде скомпрометировать учетные записи с повышенными привилегиями.