Biến thể mới của ransomware AvosLocker sử dụng thủ thuật mới để vô hiệu hóa Antivirus

Các chuyên gia an ninh mạng đã tiết lộ một biến thể mới của ransomware AvosLocker, có thể vô hiệu hóa antivirus để tránh bị phát hiện sau khi xâm nhập mạng của mục tiêu bằng cách tận dụng các lỗi bảo mật chưa được vá.



Các chuyên gia của Trend Micro, Christoper Ordonez và Alvin Nieto cho biết trong một phân tích vào hôm thứ hai rằng: “Đây là mẫu đầu tiên chúng tôi quan sát được ở Mỹ với khả năng vô hiệu hóa phòng thủ bằng cách sử dụng một file driver Avast Anti-Rootkit hợp pháp (asWarPot.sys)”.



“Ngoài ra, ransomware này cũng có khả năng quét nhiều điểm cuối để tìm lỗ hổng Log4j (Log4shell) bằng cách sử dụng file script Nmap NSE “.



AvosLocker , một trong những họ ransomware mới xuất hiện để lấp đầy khoảng trống do REvil để lại, có liên quan đến một số cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng ở Mỹ bao gồm các dịch vụ tài chính và cơ sở chính phủ.



Là một nhóm dựa trên ransomware-as-a-service (RaaS) được phát hiện lần đầu tiên vào tháng 7/2021, AvosLocker còn vượt xa mức tống tiền gấp đôi (double exortion) bằng cách bán đấu giá dữ liệu bị đánh cắp từ nạn nhân nếu các đối tượng được nhắm tới từ chối trả tiền chuộc.



Theo một khuyến cáo do Cục điều tra Liên bang Hoa Kỳ (FBI) vào tháng 3/2022 thì các nạn nhân mà nhóm ransomware này nhắm tới được cho là ở Syria, Ả Rập Xê-út, Đức, Tây Ban Nha, Bỉ, Thổ Nhĩ Kỳ, Vương quốc Anh, Canada, Trung Quốc và Đài Loan.



Dữ liệu do Trend Micro thu thập được cho thấy lĩnh vực thực phẩm và đồ uống là ngành bị ảnh hưởng nhiều nhất tính từ ​​ngày 1 tháng 7 năm 2021 đến ngày 28 tháng 2 năm 2022, tiếp theo là ngành công nghệ, tài chính, viễn thông và truyền thông.



Điểm khởi đầu của cuộc tấn công được cho là đã khai thác lỗ hổng thực thi mã từ xa trong phần mềm ManageEngine ADSelfService Plus của Zoho ( CVE-2021-40539 ) để chạy ứng dụng HTML ( HTA ) được lưu trữ trên một máy chủ từ xa.



Các chuyên gia giải thích: “HTA đã thực thi một tập lệnh PowerShell đã bị xáo trộn có chứa mã shellcode có khả năng kết nối trở lại máy chủ điều khiển và ra lệnh (command-and-control) để thực thi các lệnh tùy ý”.



Điều này bao gồm việc truy xuất một web shell ASPX từ máy chủ cùng với một trình cài đặt cho phần mềm điều khiển máy tính từ xa AnyDesk . Phần mềm này được sử dụng để triển khai các công cụ bổ sung để quét mạng cục bộ, vô hiệu hóa phần mềm bảo mật và phát tán ransomware.



Một số thành phần được sao chép vào điểm cuối bị lây nhiễm là file script Nmap với mục đích tìm lỗ hổng thực thi mã từ xa Log4Shell ( CVE-2021-44228 ) và một công cụ phát tán hàng loạt có tên gọi là PDQ nhằm phát tán ransomware tới nhiều điểm cuối khác nhau.



Về phần mình, tập lệnh script được trang bị nhiều khả năng cho phép nó vô hiệu hóa Windows Update, Windows Defender và Windows Error Recovery. Ngoài ra nó còn có thể ngăn chặn việc thực thi khởi động an toàn của các sản phẩm bảo mật, tạo tài khoản quản trị mới và khởi chạy tệp nhị phân ransomware.



Cũng được sử dụng là aswArPot.sys, một driver chống rootkit hợp pháp của Avast được sử dụng để tiêu diệt các quy trình liên quan đến các giải pháp bảo mật khác nhau bằng cách vũ khí hóa một lỗ hổng bảo mật hiện đã được khắc phục trong driver mà công ty của Séc đã khắc phục vào hồi tháng 6/2021.



Các chuyên gia chỉ ra rằng: ” Quyết định chọn driver rootkit cụ thể là vì khả năng thực thi ở chế độ kernel (qua đó hoạt động ở đặc quyền cao). Biến thể này cũng có khả năng sửa đổi các chi tiết khác của các giải pháp bảo mật đã cài đặt, chẳng hạn như vô hiệu hóa thông báo pháp lý”.



Theo Thehackernews
The post Biến thể mới của ransomware AvosLocker sử dụng thủ thuật mới để vô hiệu hóa Antivirus appeared first on SecurityDaily .