نوع باج افزار AvosLocker برای غیرفعال کردن آنتی ویروس


به این مطلب امتیاز دهید

محققان امنیت سایبری خبر از نوع جدیدی از باج‌افزار AvosLocker دادند که آنتی‌ویروس را غیرفعال می‌کند تا پس از نفوذ به شبکه‌های هدف با بهره‌گیری از نقص‌های امنیتی، شناسایی نشود.

کریستوپ اردونز و آلوین نیتو، محققان Trend Micro در تحلیلی روز دوشنبه گفتند: “این اولین نمونه ای است که از ایالات متحده با قابلیت غیرفعال کردن راه های دفاعی با استفاده از فایل قانونی Avast Anti-Rootkit Driver (asWarPot.sys) مشاهده کردیم.”

علاوه بر این، باج‌افزار همچنین می‌تواند چندین endpoint را برای آسیب‌پذیری Log4j (Log4shell) با استفاده از اسکریپت Nmap NSE اسکن کند.

AvosLocker، یکی از انواع باج‌افزار جدیدتر، با تعدادی از حملات مرتبط است که زیرساخت‌های حیاتی ایالات متحده از جمله خدمات مالی و تأسیسات دولتی را هدف قرار داده است.

AvosLocker یک گروه وابسته مبتنی بر باج‌افزار به‌عنوان سرویس (RaaS) است که برای اولین بار در جولای 2021 مشاهده شد، فراتر از اخاذی مضاعف با حراج داده‌های دزدیده شده از قربانیان در صورت امتناع نهادهای مورد نظر از پرداخت باج است.

بر اساس تحقیقات که توسط دفتر فدرال ایالات متحده منتشر شده، گفته می شود سایر قربانیان مورد ادعای کارتل باج افزار در سوریه، عربستان سعودی، آلمان، اسپانیا، بلژیک، ترکیه، امارات متحده عربی، بریتانیا، کانادا، چین و تایوان قرار دارند.

داده‌های Telemetry جمع‌آوری‌شده توسط Trend Micro نشان می‌دهد که بخش غذا و نوشیدنی بیشترین ضربه را بین 1 ژوئیه 2021 تا 28 فوریه 2022 داشته است و پس از آن صنعت، فناوری، امور مالی، مخابرات و رسانه‌ها قرار دارند.

اعتقاد بر این است که نقطه ورود برای حمله با استفاده از یک اکسپلویت برای باگ RCE در نرم افزار ManageEngine ADSelfService Plus Zoho (CVE-2021-40539) برای اجرای یک برنامه HTML (HTA) هاست که روی سرور ریموت شده ، تسهیل شده است.

محققان توضیح دادند: «HTA یک اسکریپت مبهم پاورشل را اجرا کرد که حاوی یک کد پوسته است که قادر به اتصال مجدد به سرور برای اجرای دستورات دلخواه است».

این شامل بازیابی extension وب ASPX از سرور و همچنین یک نصب کننده برای نرم افزار  AnyDesk است که از دومی برای استقرار ابزارهای اضافی برای اسکن شبکه محلی، خاتمه دادن به نرم افزار امنیتی و رها کردن بار باج افزار استفاده می شود.

برخی از اجزای موجود در اندپوینت آلوده یک اسکریپت Nmap برای اسکن شبکه برای نقص اجرای کد راه دور Log4Shell (CVE-2021-44228) و یک ابزار استقرار به نام PDQ برای ارائه یک اسکریپت دسته ای مخرب به چندین اندپوینت است.

اسکریپت دسته ای به نوبه خود به طیف گسترده ای از قابلیت ها مجهز شده است که به آن امکان می دهد Windows Update، Windows Defender و Windows Error Recovery را غیرفعال کند، علاوه بر این از غیر فعال کردن آنتی ویروس ها.

همچنین از aswArPot.sys، یک درایور قانونی ضد روت‌کیت Avast، برای از بین بردن فرآیندهای مرتبط با راه‌حل‌های امنیتی مختلف با استفاده از یک آسیب‌پذیری اصلاح‌شده در شرکت چک در ژوئن ۲۰۲۱ آن را حل کرده بود، استفاده می‌شود.

محققان خاطرنشان کردند: «تصمیم برای انتخاب فایل درایور روت‌کیت خاص به دلیل قابلیت اجرای آن در حالت هسته (بنابراین عملکرد با دسترسی بالا) است. این نوع همچنین می‌تواند جزئیات دیگری از راه‌حل‌های امنیتی نصب‌شده، مانند غیرفعال کردن اخطار قانونی را تغییر دهد.»

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.