Achtung Netzwerkadministratoren! SharpRhino-Ransomware tarnt sich als Angry IP Scanner

Die Sicherheitsfirma Hunters International hat eine neuartige C#-Malware namens SharpRhino entdeckt, die als initialer Infektionsvektor und persistenten Remote Access Trojan (RAT) eingesetzt wird.

SharpRhino wird über eine Typosquatting-Domain verbreitet, die wie der bekannte Angry IP Scanner aussieht. Die Malware verwendet bisher unbekannte Techniken, um Privilegien zu erhöhen, sich lateral im Netzwerk zu bewegen und schließlich Ransomware zu installieren. Dies zeigt die sich wandelnden Strategien und die zunehmende Komplexität von Ransomware-as-a-Service (RaaS)-Operationen.

Hunters International, eine schnell wachsende RaaS-Gruppe, trat im Oktober 2023 auf und gehört mittlerweile zu den Top-10 Ransomware-Akteuren.

Die Gruppe ist stark mit der aufgelösten Hive-Gruppe verbunden, da Ähnlichkeiten im Code bestehen. Sie verwenden einen ausgeklügelten Rust-basierten Verschlüsseler, um die Dateien der Opfer mit der Erweiterung .locked zu sperren, nachdem die Daten zuerst exfiltriert wurden.

Ihr Geschäftsmodell und ihre fortschrittlichen technischen Fähigkeiten haben zu einer weitreichenden Angriffskampagne geführt, die zahlreiche Organisationen in verschiedenen Sektoren ins Visier nimmt.

SharpRhino zielt weltweit auf Organisationen ab, ohne dabei eine bestimmte Branche zu bevorzugen. Die Malware, ein 32-Bit-Selbstextrahierungsprogramm, tarnt sich als legitimes Netzwerktool und nutzt ein gültiges Zertifikat zur Verschleierung.

Die Malware-Hashes sind 4bba5b7d3713e8b9d73ff1955211e971, 9473104a1aefb0daabe41a92d75705be7e2daf3 und 09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264, signiert von J-Golden Strive.

SharpRhino, getarnt als AngryIP-Installer, ist eine mit NSIS gepackte ausführbare Datei, die eine zusätzliche Binärdatei und ein passwortgeschütztes 7z-Archiv enthält.

Analysten führten die Malware aus, um das Passwort des Archivs zu umgehen und die Inhalte des Archivs für weitere Untersuchungen zu extrahieren.

Der NSIS-Installer ändert den Registrierungsschlüssel Run\UpdateWindowsKey, um Persistenz zu erreichen, indem Microsoft.AnyKey.exe gestartet wird, ein LOLBIN von Microsoft Visual Studio 2019 Node JS Tools, das der Angreifer eingesetzt hat.

Dieses LOLBIN führt LogUpdate.bat aus, eine Batch-Datei, die ein weiter verschleiertes PowerShell-Skript referenziert. Der Installer erstellt zwei Verzeichnisse, WindowsUpdater24 und LogUpdateWindows, die Dateien für die C2-Kommunikation enthalten.

Eine Analyse der .t-Datei durch Quorum Cyber ergab, dass es sich um ein PowerShell-Skript handelt, das fileless Malware-Taktiken verwendet. Es decodiert eingebetteten C#-Quellcode, kompiliert diesen im Speicher und führt ihn aus.

Erste Untersuchungen deuten darauf hin, dass die Malware mit einem Cloudflare Serverless Architecture-Endpunkt kommuniziert, der wahrscheinlich die C2-Infrastruktur des Angreifers ist.

Um dies zu bestätigen, wurde die .t-Datei modifiziert, um den eingebetteten C#-Quellcode zu extrahieren und in eine Datei zur weiteren Analyse umzuwandeln.

Die Analyse der SharpRhino-Malware ergab eine hochgradig verschleierte C#-Payload, die Verschlüsselung verwendet, um Kommunikationsdaten zu verbergen.

Ermittler entdeckten SharpRhino’s Hauptfunktionen, indem sie Netzwerkverkehr in einer kontrollierten Umgebung analysierten und wichtige Codestücke entschlüsselten, einschließlich verschlüsselter Kommunikation mit einem C2-Server, PowerShell-Befehlsausführung und eines grundlegenden Verzögerungsmechanismus.

Der erfolgreiche Nachbau von C2-Befehlen, einschließlich der Ausführung von ‘calc.exe’, bestätigte die vollständige Kontrolle über das infizierte System, was das Potenzial der Malware für erheblichen Schaden aufzeigt, wenn sie von bösartigen Akteuren genutzt wird.

Der SharpRhino RAT-Trojaner verwendet folgende Indikatoren für Kompromittierungen (IOCs) zur Erkennung, darunter LogUpdate.bat, Wiaphoh7um.t, ipscan-3.9.1-setup.exe, kautix2aeX.t und WindowsUpdate.bat. Diese Dateien haben entsprechende SHA-256-Hashes zur Identifikation.

Der RAT kommuniziert auch mit Command-and-Control-Servern unter cdn-server-1.xiren77418.workers.dev, cdn-server-2.wesoc40288.workers.dev, Angryipo.org und Angryipsca.com.