Группировка RansomHub, которая занимается программами-вымогателями, использует легитимный инструмент от «Лаборатории Касперского» под названием TDSSKiller для отключения сервисов обнаружения и реагирования на угрозы конечных точек (EDR) в целевых системах
После отключения защиты хакерская группа внедряла инструмент LaZagne для сбора учетных данных, чтобы извлечь логины из баз данных различных приложений, что помогло перемещаться по сети.
TDSSKiller используется во вредоносных атаках
«Лаборатория Касперского» создала TDSSKiller как инструмент сканирования системы на наличие руткитов и буткитов — двух типов вредоносного ПО, которые сложно обнаружить и которые могут обходить стандартные средства безопасности.
EDR-агенты — это более продвинутые решения , которые работают, как минимум частично, на уровне ядра, поскольку они должны контролировать низкоуровневую активность системы, такую как доступ к файлам, создание процессов и сетевые соединения, обеспечивая защиту в реальном времени от угроз, таких как программы-вымогатели.
Компания Malwarebytes сообщила, что группировка RansomHub злоупотребляла TDSSKiller, взаимодействуя с сервисами на уровне ядра с помощью командного скрипта или пакетного файла, который отключал сервис Malwarebytes Anti-Malware (MBAMService), работающий на машине.
Легитимный инструмент использовался после этапов разведки и повышения привилегий и запускался из временной директории (C:\Users
Будучи легитимным инструментом, подписанным действительным сертификатом, TDSSKiller не подвергает атаку RansomHub риску быть обнаруженной или остановленной средствами безопасности.
Далее злоумышленники использовали инструмент LaZagne для попытки извлечения учетных данных, хранящихся в базах данных. В атаке, расследованной Malwarebytes, инструмент сгенерировал 60 записей файлов, которые, предположительно, содержали журналы украденных учетных данных.
Действие по удалению файла могло быть попыткой хакеров скрыть свою активность в системе.
Защита от атак с использованием TDSSKiller
Обнаружить LaZagne несложно, потому что большинство средств безопасности помечают инструмент как вредоносное ПО. Однако его активность может стать невидимой, если TDSSKiller используется для отключения защиты.
TDSSKiller находится в серой зоне, так как некоторые средства безопасности, включая Malwarebytes ThreatDown, классифицируют инструмент как программа высокого риска (RiskWare), что также может послужить предупреждением для пользователей.
Malwarebytes рекомендует активировать функцию защиты от подделки в решениях EDR, чтобы злоумышленники не могли их отключить с помощью таких инструментов, как TDSSKiller.
Кроме того, мониторинг флага -dcsvc для параметра, который отключает или удаляет сервисы, и самого выполнения TDSSKiller может помочь в обнаружении и блокировке вредоносной активности.
Угрозы безопасности
• Обзор вирусной активности для Android в III квартале 2024 года – «Доктор Веб»
• Найдена критическая уязвимость в CUPS – пора обновить вашу Linux систему
• NOYB: Mozilla использует Firefox для отслеживания пользователей без их согласия
• Трояны для кражи данных научились обходить новую защиту Chrome – App-Bound Encryption
• Банковский троянец Octo2 для Android маскируется под NordVPN и Google Chrome
• Троянец Necro заразил более 11 миллионов Android-устройств через Google Play