SharpRhinoは、リモートアクセストロイ型のマルウェアです。
Hunters Internationalと呼ばれるランサムウェアグループが使用しています。
流れを見てみましょう。
- 配布サイトの用意
Angry IP Scannerというオープンソースのネットワークスキャナーがあります。
ネットワーク分析と監視のプロセスを簡素化するために開発された、人気の高いツールです。
通常は公式サイトで公開されているものを入手することになるのですが、脅威アクターは、この公式サイトのタイポスクワッティングサイトを用意しました。
そして、そこでAngry IP Scannerを模したインストーラーとして公開しています。 - インストーラー
インストーラーはWindows環境で利用できるデジタル署名された32ビットのインストーラーファイルとなっています。
形式はexeです。
このファイルの中身に、マルウェア、感染を実行するための追加ファイル、パスワードで保護された自己解凍型の7zアーカイブが含まれています。
そして、含まれているマルウェアはSharpRhinoです。 - マルウェアの設置
様々な手法を使用し、マルウェアを設置します。
永続化のための仕掛けを施し、C2との通信の準備をし、そして現地でコンパイルしたマルウェアのバイナリをメモリに配置します。
マルウェアの記述に使用されているコンピュータ言語はC#です。 - マルウェアの機能:delay
文字通り、このコマンドは遅延時間を設定します。
基本的に、SharpRhinoは定期的にC2からコマンドを受信して実行する動作を行います。
この定期実行の設定の調整を行うコマンドとなっています。
ここで取得されるコマンドは、PowerShellスクリプトの形式で取り込まれます。
このSharpRhinoはPowerShellスクリプトを実行する機能を持つRATとなってます。 - マルウェアの機能:exit
文字通り、終了コマンドです。
この組み込みコマンドが実行されると、マルウェアは終了します。
この脅威アクターの活動はどういうことを意味しているのでしょうか。
ランサムウェア活動の始まり部分がこのSharpRhinoであることを考えると、最初の実行ユーザはその組織で権限の高いアカウントを実行しているほうが都合が良い、というような考え方をもとにしたものなのかもしれません。
ネットワークスキャナーを入手して使用しようというユーザは、何らかの意味でネットワーク管理者のような権限を持っているだろうという利用者像を想定していると想像できます。
この脅威は、なんらかのソフトウェアの脆弱性を悪用した活動を行う内容とはなっていません。
このため、定期的な脆弱性対策の実施などのシステム的な取り組みのみに頼る形では対策できるものではなさそうです。
システムを利用する人間の弱い部分を悪用してくるといえます。
最近、この手のマルウェアが目に付くことが多くなってきているように感じます。
SharpRhino – New Hunters International RAT identified by Quorum Cyber
https://www.quorumcyber.com/insights/sharprhino-new-hunters-international-rat-identified-by-quorum-cyber/
| この記事をシェア |
|
|---|
