Nhóm ransomware Hunters International đang nhắm vào các nhân viên CNTT bằng một phần mềm độc hại mới có tên SharpRhino, là một trojan truy cập từ xa (RAT) được viết bằng C#. Phần mềm độc hại này cho phép nhóm đạt được sự xâm nhập ban đầu, nâng cao quyền hạn trên các hệ thống bị tấn công, thực thi lệnh PowerShell và cuối cùng là triển khai phần mềm tống tiền.
Hunters International bắt đầu hoạt động vào cuối năm 2023 và có khả năng đổi tên thành Hive do mã nguồn tương tự. Tính đến năm 2024, nhóm này đã thực hiện 134 cuộc tấn công phần mềm tống tiền nhằm vào nhiều tổ chức trên thế giới, xếp thứ mười trong số các nhóm hoạt động tích cực nhất trong lĩnh vực ransomware.
Phần mềm SharpRhino lây lan dưới dạng trình cài đặt 32-bit được ký số với tên tệp là ‘ipscan-3.9.1-setup.exe’. Trình cài đặt này chứa một tệp nén 7z được bảo vệ bằng mật khẩu và tự giải nén cùng với các tệp bổ sung để thực hiện lây nhiễm.
Trình cài đặt sẽ thay đổi Registry Windows để duy trì sự hoạt động ẩn danh và tạo một phím tắt đến tệp Microsoft.AnyKey.exe, thường là một tệp nhị phân Microsoft Visual Studio bị lạm dụng trong các cuộc tấn công này.
Ngoài ra, trình cài đặt cũng thả tệp ‘LogUpdate.bat’, thực thi các lệnh PowerShell trên máy để biên dịch C# vào bộ nhớ, nhằm chạy phần mềm độc hại mà không bị phát hiện.
Để dự phòng, trình cài đặt tạo hai thư mục ‘C:\ProgramData\Microsoft: WindowsUpdater24’ và ‘LogUpdateWindows’, cả hai được sử dụng trong việc trao đổi lệnh và điều khiển từ xa (C2).
Phần mềm độc hại này có hai lệnh được mã hóa sẵn: ‘delay’ dùng để thiết lập bộ đếm thời gian cho yêu cầu POST tiếp theo để nhận lệnh, và ‘exit’ để chấm dứt giao tiếp.
(Theo: Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam)