Các nhà nghiên cứu an ninh mạng đã tiết lộ một biến thể mới của ransomware AvosLocker vô hiệu hóa các giải pháp chống vi-rút để tránh bị phát hiện sau khi xâm phạm mạng mục tiêu bằng cách tận dụng các lỗi bảo mật chưa được vá.
Các nhà nghiên cứu của Trend Micro, Christoper Ordonez và Alvin Nieto, cho biết trong một phân tích hôm thứ Hai: “Đây là mẫu đầu tiên chúng tôi quan sát được từ Hoa Kỳ với khả năng vô hiệu hóa giải pháp phòng thủ bằng cách sử dụng tệp Trình điều khiển Avast Anti-Rootkit hợp pháp (asWarPot.sys)” .
“Ngoài ra, ransomware cũng có khả năng quét nhiều điểm cuối để tìm lỗ hổng Log4j (Log4shell) bằng cách sử dụng tập lệnh Nmap NSE.”
AvosLocker, một trong những họ ransomware mới hơn để lấp đầy khoảng trống do REvil để lại, có liên quan đến một số cuộc tấn công nhắm vào cơ sở hạ tầng quan trọng ở Mỹ, bao gồm các dịch vụ tài chính và cơ sở chính phủ.
Là một nhóm liên kết dựa trên ransomware-as-a-service (RaaS) được phát hiện lần đầu tiên vào tháng 7 năm 2021, AvosLocker còn vượt xa mức tống tiền gấp đôi bằng cách bán đấu giá dữ liệu bị đánh cắp từ nạn nhân nếu các đối tượng được nhắm mục tiêu từ chối trả tiền chuộc.
Các nạn nhân mục tiêu khác mà nhóm ransomware tuyên bố chủ quyền được cho là ở Syria, Ả Rập Xê-út, Đức, Tây Ban Nha, Bỉ, Thổ Nhĩ Kỳ, UAE, Anh, Canada, Trung Quốc và Đài Loan, theo một tư vấn do Cục Liên bang Mỹ đưa ra. của Điều tra (FBI) vào tháng 3 năm 2022.
Dữ liệu đo từ xa do Trend Micro thu thập cho thấy lĩnh vực thực phẩm và đồ uống là ngành bị ảnh hưởng nhiều nhất từ ngày 1 tháng 7 năm 2021 đến ngày 28 tháng 2 năm 2022, tiếp theo là ngành dọc công nghệ, tài chính, viễn thông và truyền thông.
Điểm khởi đầu cho cuộc tấn công được cho là đã được tạo điều kiện thuận lợi bằng cách khai thác lỗ hổng thực thi mã từ xa trong phần mềm ManageEngine ADSelfService Plus của Zoho (CVE-2021-40539) để chạy ứng dụng HTML (HTA) được lưu trữ trên máy chủ từ xa.
“HTA đã thực thi một tập lệnh PowerShell xáo trộn có chứa một mã shellcode, có khả năng kết nối trở lại với [command-and-control] các nhà nghiên cứu giải thích.
Điều này bao gồm việc truy xuất trình bao web ASPX từ máy chủ cũng như trình cài đặt cho phần mềm máy tính từ xa AnyDesk, phần mềm này được sử dụng để triển khai các công cụ bổ sung để quét mạng cục bộ, chấm dứt phần mềm bảo mật và giảm tải phần mềm tống tiền.
Một số thành phần được sao chép vào điểm cuối bị nhiễm là tập lệnh Nmap để quét mạng tìm lỗ hổng thực thi mã từ xa Log4Shell (CVE-2021-44228) và một công cụ triển khai hàng loạt có tên là PDQ để phân phối tập lệnh lô độc hại tới nhiều điểm cuối.
Về phần mình, tập lệnh lô được trang bị nhiều khả năng cho phép nó vô hiệu hóa Windows Update, Windows Defender và Windows Error Recovery, ngoài việc ngăn chặn việc thực thi khởi động an toàn của các sản phẩm bảo mật, tạo tài khoản quản trị mới và khởi chạy tệp nhị phân ransomware.
Cũng được sử dụng là aswArPot.sys, một trình điều khiển chống rootkit hợp pháp của Avast, để tiêu diệt các quy trình liên quan đến các giải pháp bảo mật khác nhau bằng cách vũ khí hóa một lỗ hổng bảo mật hiện đã được khắc phục trong trình điều khiển mà công ty Séc đã giải quyết vào tháng 6 năm 2021.
Các nhà nghiên cứu chỉ ra: “Quyết định chọn tệp trình điều khiển rootkit cụ thể là vì khả năng thực thi ở chế độ hạt nhân (do đó hoạt động ở đặc quyền cao)”, các nhà nghiên cứu chỉ ra. “Biến thể này cũng có khả năng sửa đổi các chi tiết khác của các giải pháp bảo mật đã cài đặt, chẳng hạn như vô hiệu hóa thông báo pháp lý.”
.
