Grupa cyber kriminala s vezama na RansomHub ransomware je primijećena kako koristi novi alat dizajniran za ukidanje softvera za otkrivanje krajnjih tačaka i odgovor (EDR) na kompromitovanim hostovima, pridružujući se sličnim programima poput AuKill (aka AvNeutralizer) i Terminator .
Uslužni program za ubijanje EDR-a nazvan je EDRKillShifter od strane cyber-sigurnosne kompanije Sophos, koja je otkrila alat u vezi s neuspjelim napadom ransomware-a u maju 2024.
„Alat EDRKillShifter je izvršni ‘loader’ – mehanizam za isporuku legitimnog drajvera koji je ranjiv na zloupotrebe (takođe poznat kao ‘donesite svoj ranjivi drajver’ ili BYOVD , alat)”, rekao je istraživač sigurnosti Andreas Klopsch . “U zavisnosti od zahtjeva hakera, može isporučiti niz različitih nosivosti vozača.”
RansomHub , za koje se sumnja da je rebrand Knight ransomware-a, pojavio se u februaru 2024., koristeći poznate sigurnosne propuste kako bi dobio početni pristup i izbacio legitimni softver za udaljenu radnu površinu kao što su Atera i Splashtop za uporan pristup.
Prošlog mjeseca, Microsoft je otkrio da je ozloglašeni sindikat e-kriminala poznat kao Scattered Spider inkorporirao ransomware sojeve kao što su RansomHub i Qilin u svoj arsenal.
Izvršen preko komandne linije zajedno sa unosom niza lozinke, izvršni fajl dešifruje ugrađeni resurs pod nazivom BIN i izvršava ga u memoriji. BIN resurs raspakuje i pokreće Go-bazirano konačno, zamagljeno opterećenje, koje zatim koristi prednosti različitih ranjivih, legitimnih drajvera da dobije povišene privilegije i deaktivira EDR softver.
„Jezičko svojstvo binarne datoteke je ruski, što ukazuje da je autor zlonamjernog softvera kompajlirao izvršnu datoteku na računaru sa ruskim postavkama lokalizacije,“ rekao je Klopsch. “Sve raspakovane EDR ubice ugrađuju ranjivi drajver u odeljak .data.”
Da biste ublažili prijetnju, preporučuje se da sisteme održavate ažuriranim, omogućite zaštitu od neovlaštenog pristupa u EDR softveru i praktikujete snažnu higijenu za sigurnosne uloge Windows.
“Ovaj napad je moguć samo ako napadač poveća privilegije koje kontrolira, ili ako može dobiti administratorska prava”, rekao je Klopsch. “Razdvajanje između korisničkih i administratorskih privilegija može spriječiti napadače da lako učitavaju drajvere.”
Razvoj dolazi kada su uočeni hakeri kako isporučuju novi skriveni zlonamjerni softver nazvan SbaProxy modificiranjem legitimnih antivirusnih binarnih datoteka iz BitDefender-a i Malwarebytes-a i ponovnog potpisivanja datoteka s krivotvorenim certifikatima kako bi uspostavili proxy veze preko servera za naredbu i kontrolu (C2).
SbaProxy je dizajniran da uspostavi proxy vezu između klijenta i cilja tako da usmjerava promet kroz C2 server i zaraženu mašinu. Zlonamjerni softver podržava samo TCP veze.
“Ova prijetnja ima značajan utjecaj, jer se može koristiti za kreiranje proxy usluga koje olakšavaju zlonamjerne aktivnosti i potencijalno se prodaju za finansijsku dobit”, rekao je AT&T LevelBlue Labs . “Ovaj alat, distribuiran u različitim formatima kao što su DLL-ovi, EXE-ovi i PowerShell skripte, teško je otkriti zbog svog sofisticiranog dizajna i legitimnog izgleda.”
Izvor:The Hacker News