新型远程访问木马SharpRhino的发现

关键要点

SharpRhino是一种新发现的远程访问木马，主要针对IT工作人员。该木马与Hunters International勒索软件团伙有关，该团伙在2024年被认为是活动最频繁的十个勒索软件团伙之一。SharpRhino通过typosquatting域名传播，假冒合法的Angry IP Scanner。其持久性和远程访问功能使攻击者能够继续对目标设备进行攻击。

在近期的一项调查中，发现了一种新的远程访问木马RAT恶意软件，名为SharpRhino，其主要目标是IT工作人员。研究人员指出，SharpRhino与2024年被认为是活动最频繁的第十个勒索软件团伙Hunters International有关。根据Quorum Cyber的研究人员在8月2日的一篇博客中披露，这种恶意软件之所以命名为SharpRhino，是因为它使用了C#编程语言。

传播与攻击机制

SharpRhino通过一个假冒合法的Angry IP Scanner的typosquatting域名进行传播。一旦执行，SharpRhino便可以建立持久性，并为攻击者提供设备的远程访问权限，从而继续实施攻击。根据研究人员的说法，SharpRhino采用与Hive和BlackCat等勒索软件团伙在发展中观察到的技术类似的手段，能够在设备上获得较高的权限，以确保攻击者能够持续进行目标攻击。

共有134起攻击被Hunters International宣布负责，这些攻击发生在2024年前七个月，且主要是出于经济驱动，目标覆盖多个行业。

专家见解

Quorum Cyber的事件响应及威胁情报负责人James AllmanTalbot表示：“Typosquatting和水坑攻击只是威胁行为者工具箱中的一种，用于对组织进行攻击。”他补充道：“SharpRhino提醒我们，威胁行为者，尤其是勒索软件团伙，因其追求的经济利益，正在不断开发新能力，并识别新的侵犯方法。”

ColorTokens的Field CTO Venky Raju指出，当IT人员花费数小时调试一个问题且精神疲惫时，他们更容易成为typosquatting攻击的受害者。他表示：“当恶意广告在热门搜索引擎上展示这些假域名时，甚至经验丰富的IT员工都可能被诱骗下载和安装恶意软件。 在许多情况下，员工可能会使用特权账户安装恶意软件，使防御工作变得更加困难。”

现代攻击策略

SentinelLabs的高级威胁研究员Tom Hegel指出，使用看似合法的域名进行传播是机会主义攻击者常用的方法。他提到，typosquatting、SEO投毒和一般的搜索引擎滥用在当今的犯罪软件行为者中十分普遍。他进一步解释道：“IT和技术人员之所以成为目标，是因为他们通常具备较高的访问权限。对这些账户/系统的妥协往往会增加攻击者成功的几率。”

相关信息内容木马名称SharpRhino目标群体IT工作人员传播方式Typosquatting域名相关团伙Hunters International关键技术持久性、远程访问权限

有关此恶意软件的更多信息，请参见Quorum Cyber提供的详细分析。

火烧云npv加速