Hunters International 勒索软件组织正利用一种名为 SharpRhino 的新型远程访问木马 (RAT) 攻击 IT 工作者，侵入公司网络。

该恶意软件可帮助 Hunters International 实现初始感染，提升他们在受感染系统上的权限，执行 PowerShell 命令，并最终部署勒索软件负载。

Quorum Cyber 的研究人员观察到勒索软件攻击中使用的恶意软件是由一个冒充 Angry IP Scanner 网站的域名抢注网站传播的，Angry IP Scanner 是 IT 专业人员使用的合法网络工具。

2024 年 1 月，网络安全公司 eSentire 和研究员 0xBurgers 就曾发现该恶意软件通过一个假冒的 Advanced IP Scanner 网站传播。

Hunters International 是一个在 2023 年底开始活跃的 勒索软件组织，由于其代码相似性而被标记为可能是 Hive 的品牌重塑。著名的受害者包括美国海军承包商 Austal USA、日本光学巨头 Hoya、Integris Health 和弗雷德哈金森癌症中心。

到目前为止，2024 年该威胁组织已宣布对全球各个组织（CIS 除外）发动了 134 起勒索软件攻击，在该领域最活跃的组织中排名第十。

SharpRhino RAT

SharpRhino 利用数字签名的 32 位安装程序进行传播，其中包含自解压的受密码保护的 7z 存档以及用于执行感染的附加文件。

存档内容

安装程序会修改 Windows 注册表以实现持久性，并创建 Microsoft.AnyKey.exe 的快捷方式，该快捷方式通常是 Microsoft Visual Studio 二进制文件，在本例中被滥用。

此外，安装程序还会释放“LogUpdate.bat”，它会在设备上执行 PowerShell 脚本，将 C# 编译到内存中，以隐秘地执行恶意软件。

为了实现冗余，安装程序会创建两个目录“C:\ProgramData\Microsoft: WindowsUpdater24”和“LogUpdateWindows”，这两个目录都用于命令和控制 (C2) 交换。恶意软件中硬编码了两个命令，分别是“delay”（延迟）和“exit”（退出），前者用于设置下一个 POST 请求的计时器，后者用于终止通信。

分析表明，该恶意软件可以在主机上执行 PowerShell，可用于执行各种危险操作。Quorum 通过 SharpRhino 成功启动 Windows 计算器，测试了这一机制。

负责 PowerShell 执行的 QFunction

他们采用的新策略是部署网站来冒充合法的开源网络扫描工具，他们将目标瞄准 IT 工作者，希望能够窃取具有提升权限的账户。