Hunters International 勒索病毒团伙新攻击()

关键要点

Hunters International 勒索病毒团伙针对 IT 专业人士发起新一轮攻击。采用新型 C# 基于 SharpRhino 的远程访问特洛伊木马进行入侵。利用伪造网站诱使 IT 工作者下载恶意安装程序。该病毒能修改 Windows 注册表以保持持久性，同时执行恶意 PowerShell 脚本。此前该团伙已经侵袭多家知名公司，如 Integris Health 和 Hoya。

根据 BleepingComputer 的报道，Hunters International 勒索病毒团伙正通过新开发的 C# 基于 SharpRhino 的远程访问特洛伊木马攻击企业网络，主要目标为 IT 专业人员。

Hunters International 利用一个假冒热门工具 Angry IP Scanner 的网站，引诱 IT 工作者下载包含恶意代码的安装程序。据 Quorum Cyber 的一份报告指出，该程序在执行时会通过修改 Windows 注册表确保持久性，并注入一个用于执行 BAT 文件的 PowerShell 脚本以无声无息地启动 SharpRhino。研究人员表示，SharpRhino 具备实施时间 POST 请求以获取指令和终止通信的能力，还能在主机上启用 PowerShell 执行及展开其他恶意活动。

这一发展出现在 Hunters International 成为潜在 Hive 勒索病毒重品牌的近一年后。自那时以来，Hunters 已成为最强大的勒索病毒操作之一，已攻陷包括 Integris Health、Austal USA、Hoya 及 Fred Hutch Cancer Center 等多家知名公司。