Главная страница » Индикаторы компрометации
0
9 месяцев
Индикаторы компрометации

SharpRhino RAT IOCs

remote access Trojan

Исследователи Quorum Cyber обнаружили новый троянец удаленного доступа (RAT) под названием SharpRhino, используемый группой злоумышленников Hunters International.

Содержание
  1. SharpRhino RAT
  2. Indicators of Compromise
  3. Domains
  4. SHA256

SharpRhino RAT

Эта вредоносная программа, написанная на языке C#, была доставлена через домен, выдающий себя за легитимный инструмент Angry IP Scanner. После выполнения SharpRhino устанавливает постоянство и предоставляет удаленный доступ к устройству, что позволяет злоумышленнику провести атаку, используя ранее невиданные техники для получения разрешений высокого уровня.

Hunters International, группе Ransomware-as-a-Service (RaaS), приписывают 134 атаки в 2024 году. Она известна тем, что занимается эксфильтрацией данных, шифрует файлы и требует выкуп через сеть TOR. Группировка нацелена на различные секторы экономики с целью получения финансовой выгоды и связана с ныне не существующей российской группой Hive, занимающейся разработкой выкупных программ.

Вредоносная программа была идентифицирована как 32-битный переносной исполняемый файл (PE) Nullsoft с самораспаковывающимся архивом, который маскируется под легитимный инструмент сетевого администрирования AngryIP. Вредоносная программа обеспечивает устойчивость путем изменения реестра и использует LOLBIN (Living off the Land Binary) для выполнения дополнительных файлов для командного управления. В ходе расследования также выяснилось, что вредоносная программа взаимодействует с инфраструктурой злоумышленника, используя процедуру шифрования.

Indicators of Compromise

Domains

  • Angryipo.org
  • Angryipsca.com
  • cdn-server-1.xiren77418.workers.dev
  • cdn-server-2.wesoc40288.workers.dev
  • ec2-3-145-172-86.us-east-2.compute.amazonaws.com
  • ec2-3-145-180-193.us-east-2.compute.amazonaws.com

SHA256

  • 09b5e780227caa97a042be17450ead0242fd7f58f513158e26678c811d67e264
  • 223aa5d93a00b41bf92935b00cb94bb2970c681fc44c9c75f245a236d617d9bb
  • 3f1443be65525bd71d13341017e469c3e124e6f06b09ae4da67fdeaa6b6c381f
  • 9a8967e9e5ed4ed99874bfed58dea8fa7d12c53f7521370b8476d8783ebe5021
  • b57ec2ea899a92598e8ea492945f8f834dd9911cff425abf6d48c660e747d722
  • d2e7729c64c0dac2309916ce95f6a8253ca7f3c7a2b92b452e7cfb69a601fbf6
Комментарии: 0
Похожие записи
0
2 дня
Индикаторы компрометации

Незаметные вредоносные .NET программы: скрытие вредоносной полезной нагрузки в виде растровых ресурсов

security
Компания Palo Alto заметила несколько волн вредоносного спама с использованием вложений в электронных письмах в конце 2024 - начале 2025 года. Одна из волн была направлена на финансовые организации в Турции
0
3 дня
Индикаторы компрометации

Уклонение от обнаружения: злоумышленники используют легитимные платформы для обмена файлами и Ngrok для распространения вредоносного ПО

security
Недавняя почтовая кампания, обнаруженная командой реагирования на инциденты FortiMail, распространяла вредоносное ПО Remote Access Trojan (RAT) с использованием различных методов уклонения, нацеленных
0
5 дней
Индикаторы компрометации

Распространение вредоносного ПО для IIS, нацеленного на веб-серверы (Larva-25003)

security
В феврале 2025 года разведывательный центр AhnLab Security обнаружил угрозу от китайскоязычного специалиста, который внедрил модуль "родного" веб-сервера для атаки на южнокорейский веб-сервер.