Hunters International, kriminalna računalniška skupina, ki je pričela svojo dejavnost oktobra 2023, je v kratkem času postala ena največjih groženj v svetu računalniške varnosti. Samo v prvih sedmih mesecih leta 2024 je skupina izvedla osupljivih 134 kibernetskih napadov. Ogrožajoče je, da mnogi strokovnjaki menijo, da je skupina naslednik zloglasne grožnje Hive, zaradi podobnosti v njihovi kodi.
Rapidni Razvoj in Uporaba Ransomware-as-a-Service (RaaS) Modela
Hunters International se je razvila v tako imenovani Ransomware-as-a-Service (RaaS) model, kar jim je omogočilo hiter vzpon med največje varnostne grožnje. Njihov napadni modus operandi je sestavljen iz izsiljevanja podatkov in poznejšega šifriranja datotek z naprednim šifriranjem v programskem jeziku Rust.
IpScan Napad: Maskiranje in Certifikacija
Napadi Hunters International običajno se začnejo z uvajanjem zlonamerne programske opreme, imenovane “ipscan-3.9.1-setup.exe”, ki se maskira kot nedolžna 32-bitna prenosna izvršljiva datoteka. Zlonamerna datoteka je zamaskirana kot Nullsoft installer in je opremljena z veljavnim certifikatom izdan od J-Golden Strive Trading Co., Ltd., ki ga je izdala GlobalSign.
Uporaba AngryIP in Vzpostavitev Pristopa
Datoteka “ipscan-3.9.1-setup.exe” izkorišča odprtokodno tehnologijo AngryIP, ki omogoča prehod mimo varnostnih kontrol in vzpostavi začetni pristop k ciljanim sistemom. Ta pristop omogoča uvedbo RAT (Remote Access Trojan) – SharpRhino.
SharpRhino RAT: Implementacija in Analiza
SharpRhino RAT se širi pod masko AngryIP installerja, in vključuje password-zaščiteno arhivo ter drugo izvršljivo datoteko (ipscan-3.9.1-setup.exe). Detonacijska analiza je razkrila geslo za arhiv in pokazala, da NSIS installer vzpostavi trajnost tako, da dodaja registarski ključ, ki vpliva na datoteko “Microsoft.AnyKey.exe”, kar omogoča izvedbo zlonamerne skripte LogUpdate.bat.
Ugotovljeno je bilo, da LogUpdate.bat uporablja obfusiran PowerShell za izvedbo zlonamerne aktivnosti. Daljša analiza nakazuje, da je zlonamerno aktivnost verjetno odgovorna za vzpostavljanje skritega datotekovnega sistema.
Analiza .t datoteke je razkrila večslojno in sofisticirano datoteko za okužbo. Napadalec je uporabil PowerShell za obfuskacijo in izvedbo zlonamerne C# kode neposredno v pomnilniku. Ta metoda vključuje uporabo varnih nizov za dodatno obfusiranje in dinamično konstrukcijo URL-jev, ki vodijo do Cloudflare Serverless Architecture endpoint, kar nakazuje na Command-and-Control (C2) infrastrukturo.
Zloženost Kodiranja in Šifriranja
Podrobna analiza C# izvornega kode iz .t datoteke je bila zahtevna zaradi močne obfuskacije. Vendar pa se je izkazalo, da po naložitvi kode v IDE, nastanejo novi objekti, ki so bili uporabljeni v datoteki .t. Po prevajanju datoteke .t na nadzorovan strežnik je bila odkrita HTTP POST zahteva, ki vsebuje base64-enkodirane in šifrirane podatke. Šifrirna rutina v C# kodi uporablja XOR operacije za skrivanje byte objektov.
SharpRhino je C# malware, ki uporablja šifriranje za skrivno komunikacijo z C2 strežnikom. Po preklicu šifriranja in analizi omrežnega prometa so raziskovalci ugotovili, da malware uporablja podatke o napravah in uporabnikih za registracijo na C2 in prejemanje ukazov, ki jih nato izvrši PowerShell na okuženem sistemu.
Zaključek: Potreba po Povečani Varnosti
Skupina Hunters International predstavlja resno grožnjo in poudarja potrebo po povečani varnosti in pozornosti na kibernetične napade. Uporabniki naj bodo previdni pri izmenjevanju vsebin preko spleta in uporabljajo varne prakse za zaščito pred zlonamernimi aktivnostmi.
URL izvora novice: https://cyberpress.org/ransomware-disguised-as-angry-ip-scanner/
