Phát hiện biến chủng của mã độc dùng thủ thuật hack mới vô hiệu hóa phần mềm chống virus

www.tuoitre.vn -   05/05/2022 12:00:00 789

Các chuyên gia an ninh mạng đã tiết lộ một biến thể mới của ransomware AvosLocker, có thể vô hiệu hóa antivirus để tránh bị phát hiện sau khi xâm nhập mạng của mục tiêu bằng cách tận dụng các lỗi bảo mật chưa được vá.

Phát hiện biến chủng của mã độc dùng thủ thuật hack mới vô hiệu hóa phần mềm chống virus

AvosLocker, một trong những họ ransomware mới xuất hiện để lấp đầy khoảng trống do REvil để lại, có liên quan đến một số cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng ở Mỹ bao gồm các dịch vụ tài chính và cơ sở chính phủ.

Là một nhóm dựa trên ransomware-as-a-service (RaaS) được phát hiện lần đầu tiên vào tháng 7/2021, AvosLocker còn vượt xa mức tống tiền gấp đôi (double exortion) bằng cách bán đấu giá dữ liệu bị đánh cắp từ nạn nhân nếu các đối tượng được nhắm tới từ chối trả tiền chuộc.

Theo một khuyến cáo do Cục điều tra Liên bang Hoa Kỳ (FBI) vào tháng 3/2022 thì các nạn nhân mà nhóm ransomware này nhắm tới được cho là ở Syria, Ả Rập Xê-út, Đức, Tây Ban Nha, Bỉ, Thổ Nhĩ Kỳ, Vương quốc Anh, Canada, Trung Quốc và Đài Loan.

Dữ liệu từ một công ty bảo mật thu thập được cho thấy lĩnh vực thực phẩm và đồ uống là ngành bị ảnh hưởng nhiều nhất tính từ ​​ngày 1 tháng 7 năm 2021 đến ngày 28 tháng 2 năm 2022, tiếp theo là ngành công nghệ, tài chính, viễn thông và truyền thông.

Điểm khởi đầu của cuộc tấn công được cho là đã khai thác lỗ hổng thực thi mã từ xa trong phần mềm ManageEngine ADSelfService Plus của Zoho (CVE-2021-40539) để chạy ứng dụng HTML (HTA) được lưu trữ trên một máy chủ từ xa.

Các chuyên gia giải thích: “HTA đã thực thi một tập lệnh PowerShell đã bị xáo trộn có chứa mã shellcode có khả năng kết nối trở lại máy chủ điều khiển và ra lệnh (command-and-control) để thực thi các lệnh tùy ý”.

Phát hiện biến chủng của mã độc dùng thủ thuật hack mới vô hiệu hóa phần mềm chống virus

Điều này bao gồm việc truy xuất một web shell ASPX từ máy chủ cùng với một trình cài đặt cho phần mềm điều khiển máy tính từ xa AnyDesk. Phần mềm này được sử dụng để triển khai các công cụ bổ sung để quét mạng cục bộ, vô hiệu hóa phần mềm bảo mật và phát tán ransomware.

Một số thành phần được sao chép vào điểm cuối bị lây nhiễm là file script Nmap với mục đích tìm lỗ hổng thực thi mã từ xa Log4Shell (CVE-2021-44228) và một công cụ phát tán hàng loạt có tên gọi là PDQ nhằm phát tán ransomware tới nhiều điểm cuối khác nhau.

Về phần mình, tập lệnh script được trang bị nhiều khả năng cho phép nó vô hiệu hóa Windows Update, Windows Defender và Windows Error Recovery. Ngoài ra nó còn có thể ngăn chặn việc thực thi khởi động an toàn của các sản phẩm bảo mật, tạo tài khoản quản trị mới và khởi chạy tệp nhị phân ransomware.

Cũng được sử dụng là aswArPot.sys, một driver chống rootkit hợp pháp của Avast được sử dụng để tiêu diệt các quy trình liên quan đến các giải pháp bảo mật khác nhau bằng cách vũ khí hóa một lỗ hổng bảo mật hiện đã được khắc phục trong driver mà công ty của Séc đã khắc phục vào hồi tháng 6/2021.

Các chuyên gia chỉ ra rằng: ” Quyết định chọn driver rootkit cụ thể là vì khả năng thực thi ở chế độ kernel (qua đó hoạt động ở đặc quyền cao). Biến thể này cũng có khả năng sửa đổi các chi tiết khác của các giải pháp bảo mật đã cài đặt, chẳng hạn như vô hiệu hóa thông báo pháp lý”.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Khi tiện ích mở rộng tốt trở nên tệ hại:...

31/12/2024 08:00:00 135
Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện í...

Hàng chục tiện ích mở rộng của Chrome bị...

30/12/2024 08:00:00 117
Một chiến dịch tấn công mới đã nhắm vào các tiện ích mở rộng trình duyệt Chrome đã biết, khiến ít nh...

Apple bồi thường 95 triệu USD vì Siri ng...

30/12/2024 12:00:00 380
Apple đã lưu trữ bất hợp pháp dữ liệu tương tác giữa người dùng với trợ lý ảo Siri mà không có sự đồ...

Hơn 15.000 Bộ định tuyến Four-Faith bị k...

26/12/2024 08:00:00 44
Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ địn...

Bạn nghĩ sao nếu người dùng ảo là chatbo...

26/12/2024 12:00:00 36
Các chatbot AI đã trở nên rất giống con người trong vòng một năm qua, nghe có vẻ khó chấp nhận nhưng...

Các cuộc tấn công mạng “bẻ khóa” thông t...

25/12/2024 08:00:00 217
Công ty an ninh mạng toàn cầu Kaspersky cho biết đã ngăn chặn hơn 23 triệu cuộc tấn công bruteforce ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button