工信部提示请防范新型 SharpRhino 恶意木马软件

工业和信息化部网络安全威胁与漏洞信息共享平台（CSTIS）近日监测到， SharpRhino 新型木马正实施网络攻击。

SharpRhino 新型远程访问木马 (RAT) 背后是名为 Hunters International 勒索软件团伙，这是一个臭名昭著黑客组织。

Hunters International 勒索软件组织在2023年底时候开始活跃，由于其代码相似性而被认为可能是 Hive 的品牌重塑。

著名的受害者包括美国海军承包商 Austal USA、日本光学巨头 Hoya、Integris Health 以及弗雷德哈金森癌症中心。

目前为止，其在2024年宣布对全球各个组织(CIS)除外发动134起勒索软件攻击，在该领域最活跃的组织中排名第十。

SharpRhino 利用数字签名 32 位安装程序传播，其包含自解压的受密码保护的 7z 存档及用于执行感染的附加文件。

该木马病毒在安装过程中会修改 Windows 注册表以实现持久性，同时还会创建 Microsoft.AnyKey.exe 的快捷方式。

通常情况下，该快捷方式是 Microsoft Visual Studio 二进制文件，但在本例中被黑客组织滥用，用于执行木马病毒。

该木马病毒还会释放“LogUpdate.bat”，在设备上执行PowerShell脚本，将 C# 编译到内存中，以隐秘执行恶意软件，

再创建两个目录“C:\ProgramData\Microsoft: WindowsUpdater24”和“LogUpdateWindows”用于命令和控制 (C2) 交换。

木马硬编码了“delay”（延迟）和“exit”（退出）两个命令，前者用于设置下个 POST 请求计时器，后者用于终止通信。

_{图片来源：pixabay}

安全人员分析发现，该木马病毒能够在被控制的主机上执行PowerShell，用于执行各种危险操作，危害性不言而喻。

Quorum Cyber安全研究人员观察到，SharpRhino 木马是由一个冒充 Angry IP Scanner 网站的域名抢注网站传播的。

Angry IP Scanner 是 IT 专业人员使用的合法开源网络扫描工具，因此可知该木马病毒的攻击目标主要是 IT 工作者。

2024年01月，安全公司 eSentire 和研究员 0xBurgers 曾发现该恶意软件通过虚假 Advanced IP Scanner 网站传播。

黑客组织希望通过冒充合法的开源网络扫描工具的新策略，入侵 IT 工作者的设备，从而窃取到具有提升权限的账户。

因此，对于 IT 从业人员而言，必须谨慎对待搜索引擎中的虚假结果，并且认准搜索引擎中带有官方标志的搜索结果。

尤其对于从事重要岗位的工作者，一定从官网下载软件，谨慎安装来路不明的应用程序，警惕钓鱼网站和钓鱼邮件。

翻译工具：搜狗翻译

参考资料：

https://www.theregister.com/2024/08/07/sharprhino_malware_admins/

https://www.bleepingcomputer.com/news/security/hunters-international-ransomware-gang-targets-it-workers-with-new-sharprhino-malware/