SharpRhino RAT
Le groupe Hunters International Ransomware a développé un nouveau cheval de Troie d'accès à distance (RAT) C# nommé SharpRhino pour cibler les informaticiens et infiltrer les réseaux d'entreprise. Ce malware facilite l'infection initiale, l'élévation de privilèges sur les systèmes compromis, l'exécution de commandes PowerShell et finalement le déploiement de ransomware.
Les chercheurs en cybersécurité ont identifié que le malware se propage via un site de typosquattage qui imite le site Web d'Angry IP Scanner, un outil de réseautage populaire utilisé par les professionnels de l'informatique.
Table des matières
Changement de nom possible de l'ancien groupe de cybercriminalité
The Hunters International , une opération de ransomware lancée fin 2023, est soupçonnée d'être une nouvelle marque de Hive en raison de similitudes dans leur code. Parmi ses victimes notables figurent Austal USA, un sous-traitant de la marine américaine, le géant japonais de l'optique Hoya, Integris Health et le Fred Hutch Cancer Center, soulignant le mépris du groupe pour les frontières éthiques.
En 2024, le groupe a revendiqué la responsabilité de 134 attaques de ransomware contre des organisations dans le monde (à l'exclusion de celles de la région CEI), ce qui en fait le dixième groupe de ransomware le plus actif cette année.
Comment fonctionne le SharpRhino RAT ?
SharpRhino est distribué sous la forme d'un programme d'installation 32 bits signé numériquement (« ipscan-3.9.1-setup.exe ») qui comprend une archive 7z auto-extractible et protégée par mot de passe contenant les fichiers supplémentaires nécessaires au processus d'infection. Lors de l'installation, le logiciel modifie le registre Windows pour assurer la persistance et crée un raccourci vers Microsoft.AnyKey.exe, un binaire Microsoft Visual Studio utilisé à mauvais escient dans ce contexte.
Le programme d'installation supprime également « LogUpdate.bat », qui exécute des scripts PowerShell sur l'appareil pour compiler le code C# en mémoire, permettant ainsi l'exécution furtive de logiciels malveillants. Pour la redondance, le programme d'installation crée deux répertoires : « C:\ProgramData\Microsoft : WindowsUpdater24 » et « LogUpdateWindows », tous deux utilisés pour la communication de commande et de contrôle (C2).
Le malware dispose de deux commandes codées en dur : « delay », qui définit le délai de la prochaine requête POST pour récupérer une commande, et « exit », qui met fin à sa communication. L'analyse révèle que le malware peut exécuter des commandes PowerShell sur l'hôte, lui permettant d'effectuer diverses actions nuisibles.
Les cybercriminels utilisent de faux sites imitant des outils légitimes
Hunters International a adopté une nouvelle stratégie consistant à utiliser des sites Web imitant des outils légitimes d'analyse de réseau open source pour cibler les professionnels de l'informatique, dans le but de pirater des comptes dotés de privilèges élevés.
Les utilisateurs doivent se méfier des résultats de recherche sponsorisés pour éviter les publicités malveillantes, utiliser des bloqueurs de publicités pour empêcher ces résultats d'apparaître et ajouter aux favoris les sites de projets officiels connus pour fournir des installateurs sûrs. Pour affaiblir l'impact des attaques de ransomware, mettez en œuvre un plan de sauvegarde robuste, pratiquez la segmentation du réseau et maintenez tous les logiciels à jour afin de minimiser les opportunités d'élévation de privilèges et de mouvements latéraux.
