Biến thể AvosLocker sử dụng thủ thuật mới để vô hiệu hóa Antivirus

Biến thể mới của ransomware AvosLocker có thể vô hiệu hóa các giải pháp chống virus để tránh bị phát hiện khi xâm nhập mạng mục tiêu bằng cách lợi dụng các lỗ hổng chưa được vá.

Các nhà nghiên cứu của Trend Micro, Christoper Ordonez và Alvin Nieto cho biết: “Đây là mẫu ransomware đầu tiên chúng tôi quan sát được tại Mỹ có khả năng vô hiệu hóa các giải pháp phòng thủ bằng cách sử dụng tệp Avast Anti-Rootkit Driver (asWarPot.sys) hợp pháp (asWarPot.sys). Ngoài ra, ransomware cũng có khả năng quét nhiều endpoint để tìm lỗ hổng Log4j (Log4shell) bằng cách sử dụng tập lệnh NSE của Nmap”.

AvosLocket là một dòng ransomware mới liên quan đến một số cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng của Hoa Kỳ, bao gồm các dịch vụ tài chính và cơ quan chính phủ.

Trong cuộc tấn công bằng một cụm dịch vụ ransomware vào tháng 7 năm 2021, AvosLocket đã tống tiền gấp đôi bằng cách bán đấu giá dữ liệu bị đánh cắp nếu nạn nhân từ chối trả tiền chuộc.

Các nạn nhân khác của nhóm tin tặc tống tiền được cho là ở Syria, Ả Rập Xê-út, Tây Ban Nha, Bỉ, Thổ Nhĩ Kỳ, Vương quốc Anh, Canada, Trung Quốc và Đài Loan.

Dữ liệu từ Trend Micro cho thấy lĩnh vực thực phẩm và đồ uống là các ngành bị ảnh hưởng nhiều nhất trong khoảng thời gian từ đầu tháng 7 năm 2021 đến hết tháng 2 năm 2022, tiếp theo là ngành công nghệ, tài chính, viễn thông và truyền thông.

Để bắt đầu cuộc tấn công, tin tặc được cho là đã khai thác lỗ hổng thực thi mã từ xa trong phần mềm ManageEngine ADSelfService Plus của Zoho (CVE- 2021- 40539) để chạy ứng dụng HTML (HTA) được lưu trữ trên máy chủ chạy từ xa.

HTA thực thi scrip Powershell đã bị đánh rối, scrip này kết nối tới máy chủ C&C để tải phần mềm từ xa AndyDesk. Hacker sau đó đã lợi dụng phần mềm này để chuyển các công cụ quét mạng, tắt antivirus, cài cắm ransomware vào máy nạn nhân.

Một số thành phần được sao chép vào endpoint bị lây nhiễm là tập lệnh Nmap để quét mạng tìm lỗ hổng thực thi mã từ xa Log4Shell (CVE-2021-44228) và một công cụ triển khai hàng loạt có tên là PDQ để phân phối tập lệnh batch độc hại tới nhiều điểm cuối.

Tập lệnh batch được trang bị khả năng vô hiệu hóa Windows Update, Windows Defender và Windows Error Recovery, ngoài việc ngăn chặn thực thi khởi động an toàn của các sản phẩm an ninh, tạo tài khoản quản trị mới và khởi chạy tệp nhị phân ransomware.

Cũng được sử dụng là aswArPot.sys, một trình điều khiển chống rootkit hợp pháp của Avast, để tiêu diệt các quy trình liên quan đến các giải pháp an ninh khác nhau bằng cách vũ khí hóa một số lỗ hổng hiện đã được khắc phục trong trình điều khiển.

“Quyết định chọn tệp trình điều khiển rootkit cụ thể là vì khả năng thực thi ở chế độ hạt nhân (do đó hoạt động ở đặc quyền cao). Biến thể này cũng có khả năng sửa đổi các chi tiết khác của các giải pháp an ninh đã cài đặt, chẳng hạn như vô hiệu hóa thông báo pháp lý”.

Theo Thehackernews