Phát hiện biến chủng của mã độc dùng thủ thuật hack mới vô hiệu hóa phần mềm chống virus
Các chuyên gia an ninh mạng đã tiết lộ một biến thể mới của ransomware AvosLocker, có thể vô hiệu hóa antivirus để tránh bị phát hiện sau khi xâm nhập mạng của mục tiêu bằng cách tận dụng các lỗi bảo mật chưa được vá.
AvosLocker, một trong những họ ransomware mới xuất hiện để lấp đầy khoảng trống do REvil để lại, có liên quan đến một số cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng ở Mỹ bao gồm các dịch vụ tài chính và cơ sở chính phủ.
Là một nhóm dựa trên ransomware-as-a-service (RaaS) được phát hiện lần đầu tiên vào tháng 7/2021, AvosLocker còn vượt xa mức tống tiền gấp đôi (double exortion) bằng cách bán đấu giá dữ liệu bị đánh cắp từ nạn nhân nếu các đối tượng được nhắm tới từ chối trả tiền chuộc.
Theo một khuyến cáo do Cục điều tra Liên bang Hoa Kỳ (FBI) vào tháng 3/2022 thì các nạn nhân mà nhóm ransomware này nhắm tới được cho là ở Syria, Ả Rập Xê-út, Đức, Tây Ban Nha, Bỉ, Thổ Nhĩ Kỳ, Vương quốc Anh, Canada, Trung Quốc và Đài Loan.
Dữ liệu từ một công ty bảo mật thu thập được cho thấy lĩnh vực thực phẩm và đồ uống là ngành bị ảnh hưởng nhiều nhất tính từ ngày 1 tháng 7 năm 2021 đến ngày 28 tháng 2 năm 2022, tiếp theo là ngành công nghệ, tài chính, viễn thông và truyền thông.
Điểm khởi đầu của cuộc tấn công được cho là đã khai thác lỗ hổng thực thi mã từ xa trong phần mềm ManageEngine ADSelfService Plus của Zoho (CVE-2021-40539) để chạy ứng dụng HTML (HTA) được lưu trữ trên một máy chủ từ xa.
Các chuyên gia giải thích: “HTA đã thực thi một tập lệnh PowerShell đã bị xáo trộn có chứa mã shellcode có khả năng kết nối trở lại máy chủ điều khiển và ra lệnh (command-and-control) để thực thi các lệnh tùy ý”.
Điều này bao gồm việc truy xuất một web shell ASPX từ máy chủ cùng với một trình cài đặt cho phần mềm điều khiển máy tính từ xa AnyDesk. Phần mềm này được sử dụng để triển khai các công cụ bổ sung để quét mạng cục bộ, vô hiệu hóa phần mềm bảo mật và phát tán ransomware.
Một số thành phần được sao chép vào điểm cuối bị lây nhiễm là file script Nmap với mục đích tìm lỗ hổng thực thi mã từ xa Log4Shell (CVE-2021-44228) và một công cụ phát tán hàng loạt có tên gọi là PDQ nhằm phát tán ransomware tới nhiều điểm cuối khác nhau.
Về phần mình, tập lệnh script được trang bị nhiều khả năng cho phép nó vô hiệu hóa Windows Update, Windows Defender và Windows Error Recovery. Ngoài ra nó còn có thể ngăn chặn việc thực thi khởi động an toàn của các sản phẩm bảo mật, tạo tài khoản quản trị mới và khởi chạy tệp nhị phân ransomware.
Cũng được sử dụng là aswArPot.sys, một driver chống rootkit hợp pháp của Avast được sử dụng để tiêu diệt các quy trình liên quan đến các giải pháp bảo mật khác nhau bằng cách vũ khí hóa một lỗ hổng bảo mật hiện đã được khắc phục trong driver mà công ty của Séc đã khắc phục vào hồi tháng 6/2021.
Các chuyên gia chỉ ra rằng: ” Quyết định chọn driver rootkit cụ thể là vì khả năng thực thi ở chế độ kernel (qua đó hoạt động ở đặc quyền cao). Biến thể này cũng có khả năng sửa đổi các chi tiết khác của các giải pháp bảo mật đã cài đặt, chẳng hạn như vô hiệu hóa thông báo pháp lý”.
Theo Thehackernews
TIN CÙNG CHUYÊN MỤC
Khi tiện ích mở rộng tốt trở nên tệ hại:...
Hàng chục tiện ích mở rộng của Chrome bị...
Apple bồi thường 95 triệu USD vì Siri ng...
Hơn 15.000 Bộ định tuyến Four-Faith bị k...
Bạn nghĩ sao nếu người dùng ảo là chatbo...
Các cuộc tấn công mạng “bẻ khóa” thông t...
- Cuối Tuần Vui Vẻ, Giá Rẻ Bất Ngờ
- Thông báo thời gian nghỉ lễ Tết Dương Lịch 2025
- Khi tiện ích mở rộng tốt trở nên tệ hại: Những điể...
- Khi tiện ích mở rộng tốt trở nên tệ hại: Làm thế n...
- Lý do dùng AI chỉnh ảnh được yêu thích hơn cách th...
- Hàng chục tiện ích mở rộng của Chrome bị hack, khi...