Phát hiện biến chủng của mã độc dùng thủ thuật hack mới vô hiệu hóa phần mềm chống virus

www.tuoitre.vn -   05/05/2022 12:00:00 606

Các chuyên gia an ninh mạng đã tiết lộ một biến thể mới của ransomware AvosLocker, có thể vô hiệu hóa antivirus để tránh bị phát hiện sau khi xâm nhập mạng của mục tiêu bằng cách tận dụng các lỗi bảo mật chưa được vá.

Phát hiện biến chủng của mã độc dùng thủ thuật hack mới vô hiệu hóa phần mềm chống virus

AvosLocker, một trong những họ ransomware mới xuất hiện để lấp đầy khoảng trống do REvil để lại, có liên quan đến một số cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng ở Mỹ bao gồm các dịch vụ tài chính và cơ sở chính phủ.

Là một nhóm dựa trên ransomware-as-a-service (RaaS) được phát hiện lần đầu tiên vào tháng 7/2021, AvosLocker còn vượt xa mức tống tiền gấp đôi (double exortion) bằng cách bán đấu giá dữ liệu bị đánh cắp từ nạn nhân nếu các đối tượng được nhắm tới từ chối trả tiền chuộc.

Theo một khuyến cáo do Cục điều tra Liên bang Hoa Kỳ (FBI) vào tháng 3/2022 thì các nạn nhân mà nhóm ransomware này nhắm tới được cho là ở Syria, Ả Rập Xê-út, Đức, Tây Ban Nha, Bỉ, Thổ Nhĩ Kỳ, Vương quốc Anh, Canada, Trung Quốc và Đài Loan.

Dữ liệu từ một công ty bảo mật thu thập được cho thấy lĩnh vực thực phẩm và đồ uống là ngành bị ảnh hưởng nhiều nhất tính từ ​​ngày 1 tháng 7 năm 2021 đến ngày 28 tháng 2 năm 2022, tiếp theo là ngành công nghệ, tài chính, viễn thông và truyền thông.

Điểm khởi đầu của cuộc tấn công được cho là đã khai thác lỗ hổng thực thi mã từ xa trong phần mềm ManageEngine ADSelfService Plus của Zoho (CVE-2021-40539) để chạy ứng dụng HTML (HTA) được lưu trữ trên một máy chủ từ xa.

Các chuyên gia giải thích: “HTA đã thực thi một tập lệnh PowerShell đã bị xáo trộn có chứa mã shellcode có khả năng kết nối trở lại máy chủ điều khiển và ra lệnh (command-and-control) để thực thi các lệnh tùy ý”.

Phát hiện biến chủng của mã độc dùng thủ thuật hack mới vô hiệu hóa phần mềm chống virus

Điều này bao gồm việc truy xuất một web shell ASPX từ máy chủ cùng với một trình cài đặt cho phần mềm điều khiển máy tính từ xa AnyDesk. Phần mềm này được sử dụng để triển khai các công cụ bổ sung để quét mạng cục bộ, vô hiệu hóa phần mềm bảo mật và phát tán ransomware.

Một số thành phần được sao chép vào điểm cuối bị lây nhiễm là file script Nmap với mục đích tìm lỗ hổng thực thi mã từ xa Log4Shell (CVE-2021-44228) và một công cụ phát tán hàng loạt có tên gọi là PDQ nhằm phát tán ransomware tới nhiều điểm cuối khác nhau.

Về phần mình, tập lệnh script được trang bị nhiều khả năng cho phép nó vô hiệu hóa Windows Update, Windows Defender và Windows Error Recovery. Ngoài ra nó còn có thể ngăn chặn việc thực thi khởi động an toàn của các sản phẩm bảo mật, tạo tài khoản quản trị mới và khởi chạy tệp nhị phân ransomware.

Cũng được sử dụng là aswArPot.sys, một driver chống rootkit hợp pháp của Avast được sử dụng để tiêu diệt các quy trình liên quan đến các giải pháp bảo mật khác nhau bằng cách vũ khí hóa một lỗ hổng bảo mật hiện đã được khắc phục trong driver mà công ty của Séc đã khắc phục vào hồi tháng 6/2021.

Các chuyên gia chỉ ra rằng: ” Quyết định chọn driver rootkit cụ thể là vì khả năng thực thi ở chế độ kernel (qua đó hoạt động ở đặc quyền cao). Biến thể này cũng có khả năng sửa đổi các chi tiết khác của các giải pháp bảo mật đã cài đặt, chẳng hạn như vô hiệu hóa thông báo pháp lý”.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Những kẻ lừa đảo đang sử dụng khuôn mặt ...

29/02/2024 08:00:00 30
Gần đây, một loại phần mềm độc hại trên điện thoại thông minh mới có tên Gold Pickaxe được thiết kế ...

Lỗ hổng SQLi nghiêm trọng trong plugin W...

28/02/2024 08:00:00 19
Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong một plugin WordPress phổ biến có tên Ultimate...

Lỗ hổng bảo mật mức độ nghiêm trọng cao ...

23/02/2024 08:00:00 46
Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong...

Apple công bố giao thức PQ3 - Mã hóa hậu...

22/02/2024 08:00:00 37
Apple đã công bố một giao thức mã hóa hậu lượng tử mới có tên PQ3 mà họ cho biết sẽ được tích hợp và...

Lỗ hổng Wi-Fi mới làm cho thiết bị Andro...

21/02/2024 08:00:00 49
Các nhà nghiên cứu an ninh mạng đã xác định được hai lỗ hổng cho phép bỏ qua xác thực trong phần mềm...

Lỗ hổng nghiêm trọng trên WordPress đang...

20/02/2024 08:00:00 32
Một lỗ hổng bảo mật nghiêm trọng trong chủ đề Bricks dành cho WordPress đang bị các tác nhân đe dọa ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ