Группировка RansomHub, которая занимается программами-вымогателями, использует легитимный инструмент от «Лаборатории Касперского» под названием TDSSKiller для отключения сервисов обнаружения и реагирования на угрозы конечных точек (EDR) в целевых системах
После отключения защиты хакерская группа внедряла инструмент LaZagne для сбора учетных данных, чтобы извлечь логины из баз данных различных приложений, что помогло перемещаться по сети.
TDSSKiller используется во вредоносных атаках
«Лаборатория Касперского» создала TDSSKiller как инструмент сканирования системы на наличие руткитов и буткитов — двух типов вредоносного ПО, которые сложно обнаружить и которые могут обходить стандартные средства безопасности.
EDR-агенты — это более продвинутые решения , которые работают, как минимум частично, на уровне ядра, поскольку они должны контролировать низкоуровневую активность системы, такую как доступ к файлам, создание процессов и сетевые соединения, обеспечивая защиту в реальном времени от угроз, таких как программы-вымогатели.
Компания Malwarebytes сообщила, что группировка RansomHub злоупотребляла TDSSKiller, взаимодействуя с сервисами на уровне ядра с помощью командного скрипта или пакетного файла, который отключал сервис Malwarebytes Anti-Malware (MBAMService), работающий на машине.
Легитимный инструмент использовался после этапов разведки и повышения привилегий и запускался из временной директории (C:\Users
Будучи легитимным инструментом, подписанным действительным сертификатом, TDSSKiller не подвергает атаку RansomHub риску быть обнаруженной или остановленной средствами безопасности.
Далее злоумышленники использовали инструмент LaZagne для попытки извлечения учетных данных, хранящихся в базах данных. В атаке, расследованной Malwarebytes, инструмент сгенерировал 60 записей файлов, которые, предположительно, содержали журналы украденных учетных данных.
Действие по удалению файла могло быть попыткой хакеров скрыть свою активность в системе.
Защита от атак с использованием TDSSKiller
Обнаружить LaZagne несложно, потому что большинство средств безопасности помечают инструмент как вредоносное ПО. Однако его активность может стать невидимой, если TDSSKiller используется для отключения защиты.
TDSSKiller находится в серой зоне, так как некоторые средства безопасности, включая Malwarebytes ThreatDown, классифицируют инструмент как программа высокого риска (RiskWare), что также может послужить предупреждением для пользователей.
Malwarebytes рекомендует активировать функцию защиты от подделки в решениях EDR, чтобы злоумышленники не могли их отключить с помощью таких инструментов, как TDSSKiller.
Кроме того, мониторинг флага -dcsvc для параметра, который отключает или удаляет сервисы, и самого выполнения TDSSKiller может помочь в обнаружении и блокировке вредоносной активности.
Угрозы безопасности
• Контроллер USB-C для iPhone и его систему безопасности взломали – это могут использовать для джейлбрейка
• Microsoft: уязвимость macOS позволяет хакерам устанавливать вредоносные драйверы ядра
• Антивирусы становятся бесполезными? ИИ может генерировать 10 000 вариантов вредоносного ПО, избегая обнаружения в 88% случаев
• Apache устраняет обход уязвимости удаленного выполнения кода в веб-сервере Tomcat
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках