Kelompok ransomware Hunters International menargetkan pekerja IT dengan trojan akses jarak jauh (RAT) C# baru yang disebut SharpRhino untuk membobol jaringan perusahaan.
Malware ini membantu Hunters International mencapai infeksi awal, meningkatkan hak istimewa mereka pada sistem yang disusupi, mengeksekusi perintah PowerShell, dan akhirnya menyebarkan muatan ransomware.
Peneliti Quorum Cyber yang menemukan malware baru melaporkan bahwa informasi ini disebarkan oleh situs typosquatting yang menyamar sebagai situs web Angry IP Scanner, sebuah alat jaringan sah yang digunakan oleh profesional TI.
Hunters International adalah operasi ransomware yang diluncurkan pada akhir tahun 2023 dan ditandai sebagai kemungkinan perubahan nama Hive karena kemiripan kodenya.
Korban yang terkenal termasuk kontraktor Angkatan Laut AS Australia AmerikaRaksasa optik Jepang HoyaBahasa Indonesia: Kesehatan Integrisdan Pusat Kanker Fred Hutchdi mana para penjahat dunia maya menunjukkan kurangnya batasan moral.
Sejauh ini, pada tahun 2024, kelompok ancaman tersebut telah mengumumkan 134 serangan ransomware terhadap berbagai organisasi di seluruh dunia (kecuali CIS), yang menempatkannya pada posisi kesepuluh di antara kelompok paling aktif di bidang tersebut.
Tikus SharpRhino
SharpRhino menyebar sebagai penginstal 32-bit yang ditandatangani secara digital (‘ipscan-3.9.1-setup.exe’) yang berisi arsip 7z yang dilindungi kata sandi yang mengekstrak sendiri dengan file tambahan untuk melakukan infeksi.
Sumber: Quorum Cyber
Penginstal memodifikasi registri Windows untuk persistensi dan membuat pintasan ke Microsoft.AnyKey.exe, biasanya biner Microsoft Visual Studio yang disalahgunakan dalam kasus ini.
Selain itu, penginstal membuang ‘LogUpdate.bat’, yang mengeksekusi skrip PowerShell pada perangkat untuk mengompilasi C# ke dalam memori untuk eksekusi malware secara diam-diam.
Untuk redundansi, penginstal membuat dua direktori, ‘C:ProgramDataMicrosoft: WindowsUpdater24’ dan ‘LogUpdateWindows,’ yang keduanya digunakan dalam pertukaran perintah dan kontrol (C2).
Dua perintah dikodekan secara permanen ke dalam malware, yaitu ‘delay’, untuk mengatur penghitung waktu permintaan POST berikutnya guna mengambil perintah, dan ‘exit’, untuk mengakhiri komunikasinya.
Analisis menunjukkan bahwa malware dapat mengeksekusi PowerShell pada host, yang dapat digunakan untuk melakukan berbagai tindakan berbahaya.
Quorum menguji mekanisme ini dengan berhasil meluncurkan kalkulator Windows melalui SharpRhino.
Sumber: Quorum Cyber
Taktik baru Hunters International dalam menyebarkan situs web yang meniru alat pemindaian jaringan sumber terbuka yang sah menunjukkan bahwa mereka menargetkan pekerja IT dengan harapan dapat membobol akun dengan hak istimewa yang lebih tinggi.
Pengguna harus berhati-hati terhadap hasil yang disponsori dalam hasil pencarian untuk menghindari malvertising, mengaktifkan pemblokir iklan untuk menyembunyikan hasil ini sepenuhnya, dan menandai situs proyek resmi yang diketahui menyediakan penginstal yang aman.
Untuk mengurangi dampak serangan ransomware, buat rencana cadangan, lakukan segmentasi jaringan, dan pastikan semua perangkat lunak sudah diperbarui untuk mengurangi peluang peningkatan hak istimewa dan perpindahan lateral.
