Technologie
Le groupe de ransomware Hunters International cible les professionnels de l’informatique avec un nouveau cheval de Troie d’accès à distance (RAT) en C# nommé SharpRhino, dans le but de pénétrer les réseaux d’entreprise.
Ce logiciel malveillant permet à Hunters International d’initier l’infection, d’élever ses privilèges sur les systèmes compromis, d’exécuter des commandes PowerShell et, en fin de compte, de déployer la charge utile du ransomware.
Des chercheurs de Quorum Cyber, qui ont découvert ce nouveau malware, rapportent qu’il est diffusé par un site de typosquatting se faisant passer pour le site d’Angry IP Scanner, un outil de mise en réseau légitime utilisé par les professionnels de l’informatique.
Hunters International est une opération de ransomware lancée à la fin de 2023, considérée comme une possible rebranding de Hive en raison de similitudes dans le code.
Parmi les victimes notables figurent le contractant de la marine américaine Austal USA, le géant japonais de l’optique Hoya, Integris Health et le Fred Hutch Cancer Center, où les cybercriminels ont démontré leur absence de limites morales.
Jusqu’à présent, en 2024, le groupe de menace a annoncé 134 attaques par ransomware contre diverses organisations à travers le monde (à l’exception des pays de la CEI), le plaçant au dixième rang parmi les groupes les plus actifs dans ce domaine.
SharpRhino RAT : Un Malware Sophistiqué
SharpRhino se propage sous la forme d’un installateur 32 bits signé numériquement (‘ipscan-3.9.1-setup.exe’), contenant une archive 7z protégée par mot de passe qui s’auto-extrait avec des fichiers supplémentaires pour réaliser l’infection.
Contenu de l’archive
Source : Quorum Cyber
L’installateur modifie le registre Windows pour assurer sa persistance et crée un raccourci vers Microsoft.AnyKey.exe, qui est normalement un binaire de Microsoft Visual Studio, mais qui est détourné dans ce cas.
De plus, l’installateur dépose un fichier ‘LogUpdate.bat’, qui exécute des scripts PowerShell sur l’appareil pour compiler du C# en mémoire, permettant ainsi une exécution discrète du malware.
Pour garantir la redondance, l’installateur crée deux répertoires, ‘C:ProgramDataMicrosoft: WindowsUpdater24’ et ‘LogUpdateWindows’, qui sont tous deux utilisés dans l’échange de commande et de contrôle (C2).
Deux commandes sont intégrées dans le malware : ‘delay’, qui définit le délai de la prochaine requête POST pour récupérer une commande, et ‘exit’, qui met fin à sa communication.
L’analyse montre que le malware peut exécuter PowerShell sur l’hôte, ce qui peut être utilisé pour effectuer diverses actions dangereuses.
Quorum a testé ce mécanisme en lançant avec succès la calculatrice Windows via SharpRhino.
Fonction responsable de l’exécution de PowerShell
Source : Quorum Cyber
La nouvelle tactique de Hunters International, consistant à déployer des sites imitant des outils de scan de réseau open-source légitimes, indique qu’ils ciblent les professionnels de l’informatique dans l’espoir de compromettre des comptes avec des privilèges élevés.
Les utilisateurs doivent faire preuve de prudence face aux résultats sponsorisés dans les moteurs de recherche pour éviter le malvertising, activer des bloqueurs de publicités pour masquer ces résultats et mettre en favori les sites de projets officiels connus pour fournir des installateurs sûrs.
Pour atténuer les effets des attaques par ransomware, il est essentiel d’établir un plan de sauvegarde, de réaliser une segmentation du réseau et de s’assurer que tous les logiciels sont à jour afin de réduire les opportunités d’élévation de privilèges et de mouvement latéral.
