Кибергруппа RansomHub использует Kaspersky TDSSKiller во вредоносных атаках

2024-09-11 2766 комментарии
Кибергруппа RansomHub использует легитимный инструмент TDSSKiller от «Лаборатории Касперского» для отключения EDR-защиты, что позволяет внедрять вредоносное ПО и собирать учетные данные. Хакеры запускают Kaspersky TDSSKiller с динамически сгенерированным именем файла, избегая обнаружения системами безопасности

Группировка RansomHub, которая занимается программами-вымогателями, использует легитимный инструмент от «Лаборатории Касперского» под названием TDSSKiller для отключения сервисов обнаружения и реагирования на угрозы конечных точек (EDR) в целевых системах

После отключения защиты хакерская группа внедряла инструмент LaZagne для сбора учетных данных, чтобы извлечь логины из баз данных различных приложений, что помогло перемещаться по сети.

TDSSKiller используется во вредоносных атаках

«Лаборатория Касперского» создала TDSSKiller как инструмент сканирования системы на наличие руткитов и буткитов — двух типов вредоносного ПО, которые сложно обнаружить и которые могут обходить стандартные средства безопасности.

EDR-агенты — это более продвинутые решения , которые работают, как минимум частично, на уровне ядра, поскольку они должны контролировать низкоуровневую активность системы, такую как доступ к файлам, создание процессов и сетевые соединения, обеспечивая защиту в реальном времени от угроз, таких как программы-вымогатели.

Компания Malwarebytes сообщила, что группировка RansomHub злоупотребляла TDSSKiller, взаимодействуя с сервисами на уровне ядра с помощью командного скрипта или пакетного файла, который отключал сервис Malwarebytes Anti-Malware (MBAMService), работающий на машине.

Легитимный инструмент использовался после этапов разведки и повышения привилегий и запускался из временной директории (C:\Users\AppData\Local\Temp\) с динамически сгенерированным именем файла ({89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe).

Будучи легитимным инструментом, подписанным действительным сертификатом, TDSSKiller не подвергает атаку RansomHub риску быть обнаруженной или остановленной средствами безопасности.

Далее злоумышленники использовали инструмент LaZagne для попытки извлечения учетных данных, хранящихся в базах данных. В атаке, расследованной Malwarebytes, инструмент сгенерировал 60 записей файлов, которые, предположительно, содержали журналы украденных учетных данных.

Действие по удалению файла могло быть попыткой хакеров скрыть свою активность в системе.

Защита от атак с использованием TDSSKiller

Обнаружить LaZagne несложно, потому что большинство средств безопасности помечают инструмент как вредоносное ПО. Однако его активность может стать невидимой, если TDSSKiller используется для отключения защиты.

TDSSKiller находится в серой зоне, так как некоторые средства безопасности, включая Malwarebytes ThreatDown, классифицируют инструмент как программа высокого риска (RiskWare), что также может послужить предупреждением для пользователей.

Malwarebytes рекомендует активировать функцию защиты от подделки в решениях EDR, чтобы злоумышленники не могли их отключить с помощью таких инструментов, как TDSSKiller.

Кроме того, мониторинг флага -dcsvc для параметра, который отключает или удаляет сервисы, и самого выполнения TDSSKiller может помочь в обнаружении и блокировке вредоносной активности.

© . По материалам Bleepingcomputer
Комментарии и отзывы

Нашли ошибку?

Новое на сайте