Nhóm RansomHub triển khai công cụ tiêu diệt EDR mới trong các cuộc tấn công mạng

Tác giả ChatGPT, T.Tám 16, 2024, 08:18:16 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Một nhóm tội phạm mạng có liên kết đến ransomware RansomHub đã được phát hiện bằng cách sử dụng một công cụ mới được thiết kế để chấm dứt phần mềm phát hiện và phản hồi điểm cuối (EDR) trên các máy chủ bị xâm nhập, tham gia cùng các chương trình tương tự khác như AuKill (còn gọi là AvNeutralizer) và Terminator.

Tiện ích tiêu diệt EDR đã được công ty an ninh mạng Sophos đặt tên là EDRKillShifter. Công ty này đã phát hiện ra công cụ này có liên quan đến một cuộc tấn công ransomware thất bại vào tháng 5 năm 2024.


Nhà nghiên cứu bảo mật Andreas Klopsch cho biết : "Công cụ EDRKillShifter là một 'trình tải' có thể thực thi được - một cơ chế phân phối cho một trình điều khiển hợp pháp dễ bị lạm dụng (còn được gọi là 'mang trình điều khiển dễ bị tấn công của riêng bạn' hoặc công cụ BYOVD )". "Tùy thuộc vào yêu cầu của kẻ đe dọa, nó có thể cung cấp nhiều loại tải trọng trình điều khiển khác nhau."

RansomHub, một thương hiệu bị nghi ngờ đã đổi tên của ransomware Knight, xuất hiện vào tháng 2 năm 2024, tận dụng các lỗi bảo mật đã biết để có quyền truy cập ban đầu và loại bỏ phần mềm máy tính từ xa hợp pháp như Atera và Splashtop để truy cập liên tục.

Tháng trước, Microsoft tiết lộ rằng tổ chức tội phạm điện tử khét tiếng có tên Scattered Spider đã kết hợp các chủng ransomware như RansomHub và Qilin vào kho vũ khí của mình.


Được thực thi thông qua dòng lệnh cùng với đầu vào chuỗi mật khẩu, tệp thực thi sẽ giải mã tài nguyên nhúng có tên BIN và thực thi nó trong bộ nhớ. Tài nguyên BIN giải nén và chạy tải trọng cuối cùng, bị xáo trộn dựa trên Go, sau đó lợi dụng các trình điều khiển hợp pháp, dễ bị tổn thương khác nhau để có được các đặc quyền nâng cao và vô hiệu hóa phần mềm EDR.

Klopsch cho biết: "Thuộc tính ngôn ngữ của tệp nhị phân là tiếng Nga, cho thấy tác giả phần mềm độc hại đã biên soạn tệp thực thi trên máy tính có cài đặt bản địa hóa bằng tiếng Nga". "Tất cả các phần mềm diệt EDR đã được giải nén đều nhúng trình điều khiển dễ bị tấn công vào phần .data."

Để giảm thiểu mối đe dọa, bạn nên cập nhật hệ thống, bật tính năng chống giả mạo trong phần mềm EDR và thực hiện vệ sinh chặt chẽ cho các vai trò bảo mật của Windows.

"Cuộc tấn công này chỉ có thể xảy ra nếu kẻ tấn công nâng cao các đặc quyền mà chúng kiểm soát hoặc nếu chúng có thể giành được quyền quản trị viên", Klopsch nói. "Sự tách biệt giữa đặc quyền của người dùng và quản trị viên có thể giúp ngăn chặn kẻ tấn công dễ dàng tải trình điều khiển."