勒索软件团伙利用新恶意软件攻击安全软件

RansomHub勒索软件团伙正在利用一种名为EDRKillShifter的新恶意软件,通过利用自带易受攻击的驱动程序(BYOVD)攻击来禁用端点检测和响应(EDR)安全软件。这种策略由Sophos安全研究人员发现,涉及在目标系统上部署合法但易受攻击的驱动程序,以提升权限、禁用安全解决方案并获得对设备的控制权。这种方法被各种威胁行为者广泛使用,从出于经济动机的团伙到国家支持的黑客组织。
在2024年5月的一次勒索软件事件中,Sophos研究人员观察到,攻击者试图使用EDRKillShifter来禁用Sophos的保护,但由于端点代理的CryptoGuard功能而未成功。进一步的分析揭示了该恶意软件的两个样本,每个样本都利用不同的易受攻击的驱动程序(RentDrv2和ThreatFireMonitor),并在GitHub上提供了概念验证漏洞。
Sophos还指出,EDRKillShifter可以根据攻击者的要求提供各种驱动程序有效载荷,而恶意软件的编译语言表明它起源于俄罗斯。加载程序的执行过程涉及解密和执行内存中的嵌入资源,该资源随后解压并执行最终有效载荷以利用易受攻击的驱动程序。来源