据报道,Hunters International勒索软件组织已被发现使用一种新的恶意软件SharpRhino,针对IT专业人员。该恶意软件是一种C#远程访问木马(RAT),能够渗透公司网络,获得更高的系统权限,执行PowerShell命令,并最终部署勒索软件。Quorum Cyber的研究人员指出,该恶意软件是通过一个模仿合法Angry IP Scanner网站的仿冒网站传播的,这是IT工作者中流行的工具。
据网络安全公司eSentire和研究员0xBurgers在2024年1月报道,SharpRhino恶意软件此前也被发现通过虚假的Advanced IP Scanner网站进行分发。Hunters International于2023年底出现,由于其代码相似,被怀疑是Hive勒索软件组织的品牌重塑。该组织声称对2024年对Austal USA、Hoya、Integris Health和Fred Hutch癌症中心等组织的重大攻击负责,展示了它们的影响力。
从技术上讲,SharpRhino以数字签名的安装程序形式传播,它伪装成合法的软件安装文件,包含一个带有其他恶意文件的自解压存档。此安装程序会更改Windows注册表以实现持久性,并滥用Microsoft Visual Studio二进制文件来秘密执行其有效负载。该恶意软件还使用PowerShell脚本在内存中编译C#,从而增强其在受感染设备上的隐身性和持久性。Hunters International今年在全球范围内进行了134次勒索软件攻击,使其成为目前运作最活跃的威胁组织之一。