Главная страница » Индикаторы компрометации
0
13 часов
Индикаторы компрометации

От загрузчика Armillaria до «убийцы» EDR: группировка Akira обезвреживает защиту конечных точек

APT

В криминальном мире программ-вымогателей (ransomware) группировка Akira известна большим числом жертв и умением использовать любую возможность для достижения своих целей. Загрузчик Armillaria продолжает адаптироваться к меняющейся обстановке и доказывает свою полезность для злоумышленников. Команда Threat Intelligence компании ThreatLocker зафиксировала образцы как самого загрузчика Armillaria, так и инструмента для нейтрализации EDR, используемого Akira. Этот анализ призван осветить тактики, применяемые для успешного завершения процессов продуктов ведущих вендоров безопасности.

Описание

Технический анализ загрузчика Armillaria

В конце ноября ThreatLocker Threat Intelligence наблюдала доставку варианта загрузчика Armillaria под именем «version.dll». Вредоносная полезная нагрузка (payload) была встроена в файл загрузчика, который расшифровывал и выполнял её в контексте процесса «rundll32.exe». С помощью динамического анализа встроенную нагрузку можно идентифицировать в распакованном состоянии по наличию нескольких новых заголовков PE-файлов Windows и соответствующих «магических» байтов «4D 5A» («MZ»). Дамп соответствующей области памяти на диск предоставляет неповрежденную копию второй стадии атаки.

BYOVD-загрузчик и «убийца» EDR

Полезная нагрузка второй стадии, исполняемая процессом «rundll32.exe» из «version.dll», изначально не соответствовала ни одному из публично доступных образцов. Позднее она была передана сообществу аналитиков безопасности под именем файла «owned2.dll». Её основная цель - завершение процессов и связанных служб продуктов защиты конечных точек. Для этого используются два встроенных драйвера: «rwdrv.sys» (известный уязвимый драйвер ThrottleStop от TechPowerUp) и неподписанный драйвер «hlpdrv.sys», который непосредственно завершает целевые процессы и службы.

Перед началом нейтрализации инструмент проверяет основной язык и локаль системы на соответствие списку защищённых стран. Большинство исключений составляют государства СНГ. Если на целевом хосте обнаружена исключённая локаль, выполнение прекращается, а процесс-хост завершается. Простые изменения, такие как переключение языка клавиатуры пользователя или даже всей системы, не влияют на результат этой проверки. Это указывает, что проверяемое значение устанавливается операционной системой при её инсталляции.

Версии драйвера ThrottleStop 3.0.0 и ниже содержат уязвимость. Через определённый IOCTL-код они позволяют приложению из пользовательского режима выполнять произвольные чтение и запись в физическую память с помощью функции «MmMapIoSpace». Эта уязвимость позволяет нагрузке второй стадии взаимодействовать с созданным устройством драйвера, записывать данные в физическую память, обходить проверку цифровой подписи драйверов и загружать вредоносный драйвер завершения «hlpdrv.sys» без создания соответствующей записи в диспетчере управления службами.

Вредоносный драйвер завершения, сохраняемый в временной директории профиля пользователя под именем «hlpdrv.sys», предоставляет свои IOCTL-коды. Это позволяет приложению в пользовательском режиме завершать защищённые или привилегированные процессы с помощью «ZwTerminateProcess» (код IOCTL «0x222004»). Драйвер также может модифицировать DACL (дискреционный список управления доступом) и дескриптор безопасности целевого объекта или файла, делая его недоступным (код IOCTL «0x222000»). Код «0x222008», который использует нагрузка второй стадии, комбинирует оба действия.

Процессы и службы для завершения хранятся в зашифрованных списках и передаются вредоносному драйверу с кодом «0x222008». Это делает связанные с ними файлы на диске недоступными и завершает все активные процессы. Примечательно, что целевой список служб включает записи для драйверов вендоров защиты конечных точек. Эти драйверы невозможно выгрузить с помощью «ZwTerminateProcess». Это разумно указывает на то, что группа, ответственная за разработку этого инструмента, либо взяла целевые списки из другого источника, либо из другого инструмента для нейтрализации EDR.

Использование загрузчика Armillaria операторами Akira служит свидетельством того, что по мере эволюции угроз появляются новые тактики, а старые могут возрождаться. Ранее идентифицированные образцы Armillaria Loader приводили к выполнению программы-вымогателя Akira. Это позволило ThreatLocker Threat Intelligence связать данную атаку с аффилированными лицами Akira. Они использовали инструменты, функционально идентичные проанализированным выше, для подготовки целевых систем к последующему шифрованию.

Индикаторы компрометации

SHA256

  • 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0
  • 97dfbb7d087f8e297431d80dfc34c255a407f25fee120931904225e484b9962a
  • bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56
Комментарии: 0
Похожие записи
0
17.11.2025
Индикаторы компрометации

Киберугроза Akira: международные органы безопасности предупреждают о новой волне атак на критическую инфраструктуру

ransomware
Федеральные агентства США и международные правоохранительные органы выпустили обновленное экстренное предупреждение о растущей угрозе со стороны группировки Akira ransomware.
0
06.08.2025
Индикаторы компрометации

Группировка Akira атакует VPN-аппараты SonicWall: растущая угроза корпоративным сетям

ransomware
Киберпреступная группировка Akira активно использует уязвимости в VPN-аппаратных решениях SonicWall для проникновения в корпоративные сети и последующего развертывания программ-вымогателей.
0
19.09.2025
Индикаторы компрометации

Хакеры использовали незашифрованные коды восстановления для атаки на портал безопасности Huntress

information security
Эксперты компании Huntress обнаружили новый опасный вектор атаки, при котором злоумышленники использовали незашифрованные коды восстановления для доступа к порталу безопасности и подавления системы защиты.