TrendMicro обнаружили образцы вымогательского ПО AvosLocker, которое использует легитимный файл драйвера для отключения антивирусных решений и уклонения от обнаружения. Хотя предыдущие заражения AvosLocker использовали аналогичные процедуры, это первый образец, обнаруженный нами в США, способный отключить защитное решение с помощью легитимного файла драйвера Avast Anti-Rootkit Driver (asWarPot.sys). Кроме того, вымогатель способен сканировать несколько конечных точек на наличие Log4j-уязвимости Log4shell с помощью сценария Nmap NSE.
AvosLocker
Хотя AvosLocker задокументировал злоупотребление AnyDesk для бокового перемещения в качестве предпочтительного приложения, TrendMicro отмечает, что другие приложения удаленного доступа также могут быть использованы для его замены. TrendMicro считает, что то же самое можно сказать и об инструменте развертывания программного обеспечения, поскольку злоумышленники могут впоследствии решить заменить его другими коммерчески доступными инструментами. Кроме того, помимо доступности, решение о выборе конкретного файла драйвера руткита обусловлено его способностью выполняться в режиме ядра (следовательно, работать с высокими привилегиями).
Этот вариант также способен модифицировать другие детали установленных решений безопасности, например, отключать легальное уведомление. Другие современные программы-вымогатели, такие как Mespinoza/Pysa, изменяют реестры зараженных систем во время выполнения соответствующих процедур, чтобы сообщить своим жертвам о том, что они были скомпрометированы.
Подобно ранее задокументированным группам вредоносного и вымогательского ПО, AvosLocker использует преимущества различных уязвимостей, которые еще не были исправлены, чтобы проникнуть в сети организаций. Попав внутрь, продолжающаяся тенденция злоупотребления законными инструментами и функциями для маскировки вредоносной деятельности и присутствия злоумышленников становится все более изощренной. В данном случае злоумышленники смогли изучить и использовать драйвер Avast как часть своего арсенала для отключения продуктов безопасности других производителей.
Indicators of Compromise
SHA256
- a5ad3355f55e1a15baefea83ce81d038531af516f47716018b1dedf04f081f15
- 05ba2df0033e3cd5b987d66b6de545df439d338a20165c0ba96cde8a74e463e5
- 912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9
- e81a8f8ad804c4d83869d7806a303ff04f31cce376c5df8aada2e9db2c1eeb98
- ddcb0e99f27e79d3536a15e0d51f7f33c38b2ae48677570f36f5e92863db5a96
- 14f0c4ce32821a7d25ea5e016ea26067d6615e3336c3baa854ea37a290a462a8