Хайх

GodDamn Ransomware нь PoisonX драйверийг ашиглан төгсгөлийн цэгийн хамгаалалтыг идэвхгүй болгож байна

  • Үүнийг хуваалц:
post-title

Кибер аюулгүй байдлын судлаачид GodDamn хэмээх шинэ ransomware гэр бүлийг илрүүлжээ. Энэ гэр бүл нь PoisonX цөмийн драйверийг ашиглан хамгаалалтын програм хангамжаа саармагжуулж, хамгаалалтаас зайлсхийх стратегийн нэг хэсэг болгон ашигладаг.

Symantec-ийн Threat Hunter Team-ийн нийтэлсэн шинэ тайланд дурдсанаар, ransomware нь анх 2026 оны 5-р сарын 21-нд олон нийтэд ил болсон байна. Энэ нь Beast ransomware-ийн шинэчилсэн хувилбар бөгөөд 2022 оны 3-р сард гарч ирсэн Delphi дээр суурилсан ransomware Monster-ийн сайжруулсан хувилбар юм. Broadcom-ийн кибер аюулгүй байдлын хэлтэс нь Hyadina нэрээр эдгээр ransomware гэр бүлийн хөгжүүлэгчийг мөрдөж байна.

2026 оны 6-р сарын эхээр ransomware-ийн үйл ажиллагааны зохион байгуулсан нэг халдлагад аюул заналхийлэгчид алсын зайнаас хандахын тулд AnyDesk-ийг ашиглаж, ransomware-ийг байрлуулахаасаа өмнө NirSoft дээр суурилсан итгэмжлэл цуглуулах хэрэгслийг ашигласан гэж мэдэгджээ. Анхны хандалтын яг тодорхой вектор нь тодорхойгүй байна. Энэхүү итгэмжлэл цуглуулагч нь нийтлэг вэб хөтөч, Windows Credential Manager, кэшлэгдсэн домэйны итгэмжлэл, VNC сесс, имэйл клиент, Wi-Fi профайл болон шууд сүлжээний урсгалаас мэдрэмтгий өгөгдлийг гаргаж авах зориулалттай.

Мөн халдлагад Symantec бүтээгдэхүүн ("symantec.exe") болон PoisonX цөмийн драйвер ("g11.sys")-ийн дүрд хувирсан хэрэглэгчийн горимын хамгаалалтаас зайлсхийх хэрэгсэл ашиглагдаж байгаа бөгөөд энэ нь өөрийн эмзэг драйвераа авчрах (BYOVD) халдлагын үед төгсгөлийн цэгийн хамгаалалтыг идэвхгүй болгох зорилготой юм.

Кибер аюулгүй байдал

"Гэсэн хэдий ч PoisonX драйвер нь арай ер бусын юм шиг санагдаж байна, учир нь энэ нь хөгжүүлэгчид нь Microsoft-оор гарын үсэг зурж чадсан хортой драйвер бөгөөд одоо үүнийг ransomware халдагчид ашиглаж байна" гэж Symantec Threat Hunter Team The Hacker News-тэй хуваалцсан тайландаа дурджээ.

PoisonX нь The Gentlemen ransomware-as-a-service (RaaS) схемийн операторууд шифрлэгчийг ажиллуулахаас өмнө системийн хамгаалалтыг сулруулсан тохиолдолд салбар компаниудад өгдөг GentleKiller хэрэгсэлдээ ашигладаг найман драйверын нэг гэдгийг тэмдэглэх нь зүйтэй.

"Эмзэг драйверууд бол халдагчийн хамгийн найдвартай зам юм" гэж Broadcom өнгөрсөн сард тэмдэглэжээ. "Халдагч админы эрх авсны дараа алдаатай боловч хүчин төгөлдөр гарын үсэгтэй драйверыг зорилтот машин руу хаяж болно. Драйвер нь гарын үсэгтэй тул Windows үүнийг автоматаар ачаалдаг."

"Хамгийн түгээмэл үйлдэл бол вирусны эсрэг (AV) эсвэл төгсгөлийн цэг илрүүлэх, хариу үйлдэл үзүүлэх (EDR) бүтээгдэхүүнүүдэд хамаарах процессуудыг устгах явдал бөгөөд ингэснээр машины хамгаалалтыг үгүй ​​хийдэг. Зарим хувилбарууд нь илүү нарийн байдаг. Халдагчид аюулгүй байдлын агентыг зөв ажиллахад шаардлагатай эрхээс нь салгаж, ажиллуулж байгаа ч ажиллах боломжгүй болгож болзошгүй. Бусад нь цөмийн дотоод бүртгэлийг шууд өөрчилдөг тул аюулгүй байдлын бүтээгдэхүүн нь машин дээр юу болж байгаа талаар мэдэгдэл хүлээн авахаа больж, үр дүнд нь сохор болгодог."

Энэ халдлага нь хажуугийн хөдөлгөөнийг хөнгөвчлөхийн тулд PsExec-ийг ашиглан, дараа нь эдгээр хүрч болох хостууд дээр AnyDesk-ийг тохируулж, дахин ачаалсны дараа амьд үлдэхийн тулд Windows-ийн автоматаар эхлүүлэх үйлчилгээ болгон бүртгүүлснээр тодорхойлогддог. Зарим машинууд дээр AnyDesk-ийн бүх тохиргоог системийн диск дээр урьдчилан бэлтгэсэн PowerShell скриптээр зохицуулдаг бөгөөд энэ нь үйл явцыг хялбарчлахын тулд дахин ашиглах боломжтой суулгагчийг ашиглахыг санал болгодог.

Кибер аюулгүй байдал

"Хост бүр дээр AnyDesk тохиргоог дуусгасны дараа халдагчид ажиллаж буй AnyDesk процессыг зогсоож, хэсэг хугацаанд хүлээгээд дараа нь машиныг дахин ачаалсан" гэж Symantec хэлэв. "6-р сарын 2-ны эцэс гэхэд энэхүү байршуулалтын дараалал нь зорилтот байгууллагын доторх дор хаяж 10 хост дээр давтагдсан байв."

Кибер аюулгүй байдлын компани GodDamn ransomware-ийг анх 6-р сарын 3-нд тусдаа байгууллагын нэгжтэй холбоотой тусдаа сүлжээний сегмент дээр илрүүлсэн бөгөөд файлуудыг Hyadina-ийн хийсэн бусад халдлагад ашигладаг ".God8Damn" өргөтгөлийн оронд хохирогчийн нэрийг өргөтгөл болгон өөрчилсөн гэж мэдэгдэв.

CYFIRMA-ийн гаргасан тайланд дурдсанаар, халдлагын төгсгөлд илгээсэн золиосны тэмдэглэлд хохирогчидтой имэйл эсвэл qTox шифрлэгдсэн мессежийн аппликейшнаар холбогдохыг уриалсан байна.

"GodDamn компани харьцангуй саяхан нээгдсэн PoisonX хортой драйверын бүрэлдэхүүн хэсгийг ашигласан нь энэ бүлгийн хамгаалалтаас зайлсхийх чадвар нэмэгдэж байгааг харуулж байгаа бөгөөд энэ нь Hyadina өөрийн золиосны програм хангамж болон түүний чадавхийг идэвхтэй хөгжүүлсээр байгааг харуулж байна" гэж кибер аюулгүй байдлын компани дүгнэжээ.

Admin Admin

Admin Admin

Админ өөрийн тухай мэдээ мэдээллийг энд бичнэ