Le groupe de rançongiciels Hunters International cible les informaticiens avec un nouveau cheval de Troie d’accès à distance (RAT) C# appelé SharpRhino pour violer les réseaux d’entreprise.
Le logiciel malveillant aide Hunters International à obtenir une infection initiale, à élever ses privilèges sur les systèmes compromis, à exécuter des commandes PowerShell et éventuellement à déployer la charge utile du ransomware.
Les cyber-chercheurs de Quorum qui ont découvert le nouveau logiciel malveillant rapportent qu’il est diffusé par un site de typosquattage se faisant passer pour le site Web d’Angry IP Scanner, un outil de mise en réseau légitime utilisé par les professionnels de l’informatique.
Hunters International est une opération de ransomware lancée fin 2023 et signalée comme un changement de marque possible de Hive en raison de ses similitudes de code.
Parmi les victimes notables figurent l’entrepreneur de la marine américaine Austal USA, le géant japonais de l’optique Hoya, Integris Health et le Fred Hutch Cancer Center, où les cybercriminels ont démontré leur absence de frontières morales.
Jusqu’à présent, en 2024, le groupe de menaces a annoncé 134 attaques de ransomware contre diverses organisations dans le monde (à l’exception de CIS), ce qui le classe au dixième rang des groupes les plus actifs du secteur.
RAT DE SharpRhino
SharpRhino se propage en tant qu’installateur 32 bits signé numériquement (‘ipscan-3.9.1-setup.exe’) contenant une archive 7z auto-extractible protégée par mot de passe avec des fichiers supplémentaires pour effectuer l’infection.
Le programme d’installation modifie le registre Windows pour la persistance et crée un raccourci vers Microsoft.AnyKey.exe, normalement un binaire Microsoft Visual Studio qui est abusé dans ce cas.
De plus, le programme d’installation supprime la mise à jour du journal.bat’, qui exécute des scripts PowerShell sur l’appareil pour compiler C# en mémoire pour une exécution furtive de logiciels malveillants.
Pour la redondance, l’installateur crée deux répertoires, ‘C:\ProgramData\Microsoft: Windows Updater 24 ‘et ‘ LogUpdateWindows’, qui sont tous deux utilisés dans l’échange de commandes et de contrôle (C2).
Deux commandes sont codées en dur sur le logiciel malveillant, à savoir « delay », pour régler la minuterie de la prochaine requête POST pour récupérer une commande, et « exit », pour mettre fin à sa communication.
L’analyse montre que le logiciel malveillant peut exécuter PowerShell sur l’hôte, qui peut être utilisé pour effectuer diverses actions dangereuses.
Quorum a testé ce mécanisme en lançant avec succès la calculatrice Windows via Sharp Rhino.
La nouvelle tactique de Hunters International consistant à déployer des sites Web pour usurper l’identité d’outils d’analyse de réseau open source légitimes indique qu’ils ciblent les informaticiens dans l’espoir de violer des comptes avec des privilèges élevés.
Les utilisateurs doivent faire attention aux résultats sponsorisés dans les résultats de recherche pour échapper à la publicité malveillante, activer des bloqueurs de publicités pour masquer entièrement ces résultats et mettre en signet les sites de projets officiels connus pour se procurer des installateurs sûrs.
Pour atténuer les effets des attaques de ransomware, établissez un plan de sauvegarde, effectuez une segmentation du réseau et assurez-vous que tous les logiciels sont à jour afin de réduire les possibilités d’élévation de privilèges et de mouvement latéral.