헌터스 인터내셔널 랜섬웨어 그룹이 IT 전문가들을 표적으로 하는 새로운 원격 접근 트로이목마(RAT)인 '샤프리노(SharpRhino)'를 배포했다. 이 악성 소프트웨어는 기업 네트워크를 침해하기 위해 합법적인 도구로 위장된 사이트를 통해 유포되고 있다.
SharpRhino는 인기 있는 오픈 소스 네트워크 스캐닝 도구인 Angry IP Scanner의 사이트를 모방한 피싱 사이트를 통해 배포된다. 퀘이럼 사이버(Quorum Cyber) 연구원들은 악성 설치 파일이 `ipscan-3.9.1-setup.exe`라는 이름의 디지털 서명된 32비트 파일이며, 이 파일에는 자가 추출 7z 아카이브가 포함되어 있다고 밝혔다. 이 아카이브는 실행되면 윈도우 레지스트리를 수정하여 지속성을 확보하고, 추가적인 악성 코드를 실행하기 위해 파워쉘 스크립트를 실행하는 `LogUpdate.bat` 파일을 떨어뜨린다.
SharpRhino의 주요 기능은 파워쉘 명령을 실행하고, 메모리에 C# 코드를 컴파일하여 은밀하게 작동하는 것이다. 이 악성 소프트웨어는 명령 및 제어(C2) 통신을 위해 `C:\ProgramData\Microsoft: WindowsUpdater24`와 `LogUpdateWindows`라는 두 개의 디렉토리를 생성하여 중복성을 제공한다. RAT에는 통신 지연을 관리하고 프로세스를 종료하는 데 사용되는 명령어가 하드코딩되어 있다.
2023년 말에 등장한 이 그룹은 이미 미 해군 계약업체인 Austal USA, 일본 광학 회사인 Hoya, Integris Health, Fred Hutch Cancer Center 등 여러 주요 기관을 공격한 바 있다. 2024년에는 전 세계적으로 134건의 랜섬웨어 공격을 실행했다.
SharpRhino 및 유사한 위협을 완화하기 위해 IT 전문가들은 다음과 같은 조치를 취해야 한다.
-피싱 사이트 주의: 검증된 공식 출처에서만 소프트웨어를 다운로드해야 한다.
-광고 차단기 사용: 악성 광고 캠페인을 피할 수 있다.
-정기적인 백업: 정기적인 백업은 랜섬웨어의 영향을 줄여준다.
-네트워크 분할: 네트워크 분할은 공격자의 횡적 이동을 제한한다.
-소프트웨어 업데이트 유지: 정기적인 업데이트와 패치는 권한 상승에 악용될 수 있는 취약점을 줄여준다.
