Το AVKiller διευκολύνει τις επιθέσεις ransomware
SecNews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το AVKiller διευκολύνει τις επιθέσεις ransomware
https://www.secnews.gr/655667/avkiller-dieffkolinei-epitheseis-ransomware/
Aug 7th 2025, 18:00
by Absenta Mia
Οι ομάδες κυβερνοασφάλειας έχουν αντιμετωπίσει μια αυξανόμενη απειλή από ένα νέο payload "EDR killer" τους τελευταίους μήνες, που αναφέρεται συχνά ως AVKiller, το οποίο έχει παρατηρηθεί να απενεργοποιεί τις άμυνες των endpoint για να διευκολύνει την ανάπτυξη ransomware.
Δείτε επίσης: SonicWall: Απενεργοποιήστε το SSL VPN λόγω ransomware
Αρχικά ανιχνεύθηκε στα μέσα του 2024, αυτό το εργαλείο εκμεταλλεύεται τον packer-as-a-service HeartCrypt για να αποκρύψει τη πραγματική του λειτουργία και να περάσει απαρατήρητο από τις παραδοσιακές στατικές υπογραφές. Οι επιτιθέμενοι παραδίδουν συνήθως το AVKiller μέσω ενός dropper που προσποιείται ότι είναι ένα νόμιμο εργαλείο—συχνά με την έγχυση κακόβουλου κώδικα σε υπογεγραμμένα εκτελέσιμα αρχεία όπως το Beyond Compare.
Μετά την εκτέλεση, το AVKiller αποκωδικοποιεί το προστατευμένο payload στη μνήμη, αναζητά συγκεκριμένους οδηγούς ασφαλείας και προχωρά στην τερματισμό των σχετικών διαδικασιών, δημιουργώντας μια καθαρή διαδρομή για την επακόλουθη κρυπτογράφηση από ransomware. Οι αναλυτές της Sophos εντόπισαν τα αρχικά δείγματα του AVKiller που στοχεύουν προϊόντα της Sophos, και οι μεταγενέστερες παραλλαγές διεύρυναν την εστίασή τους για να περιλάβουν ένα ευρύ φάσμα προμηθευτών όπως οι Bitdefender, Kaspersky, SentinelOne και Microsoft Defender.
Το εργαλείο αναζητά ένα τυχαία ονομασμένο αρχείο οδηγού (για παράδειγμα, mraml.sys), το φορτώνει αν είναι παρόν και στη συνέχεια τερματίζει τις τρέχουσες διαδικασίες ή υπηρεσίες που σχετίζονται με γνωστές λύσεις antivirus και EDR. Αν ο οδηγός λείπει, το AVKiller δημιουργεί μια υπηρεσία με παρόμοιο όνομα και τερματίζει με ένα μήνυμα σφάλματος, «Αποτυχία στην απόκτηση συσκευής», διασφαλίζοντας ότι οι υπερασπιστές συναντούν περιορισμένα αποδεικτικά στοιχεία εγκληματικής δραστηριότητας.
Δείτε ακόμα: Το Interlock Ransomware χρησιμοποιεί την τεχνική ClickFix
Η επίδραση του AVKiller έχει υπάρξει σημαντική. Σε ένα υψηλού προφίλ περιστατικό, η ομάδα RansomHub ανέπτυξε το payload εναντίον ενός μεγάλου δικτύου επιχείρησης, απενεργοποιώντας με επιτυχία την ανίχνευση δυναμικού shellcode και τους μηχανισμούς ελέγχου συσκευών πριν απελευθερώσει την κρυπτογράφηση αρχείων. Μέσα σε λίγα λεπτά, κρίσιμοι διακομιστές παραβιάστηκαν και οι προσπάθειες αποκατάστασης εμποδίστηκαν από την απουσία ενεργής προστασίας EDR.
Το AVKiller διευκολύνει τις επιθέσεις ransomware
Η ανάλυση των δεδομένων τηλεμετρίας αποκάλυψε ότι το AVKiller εκτέλεσε πολλές ρουτίνες αποκλεισμού SysCall, εμποδίζοντας τα εργαλεία ζωντανής απόκρισης να εγχυθούν σε προστατευμένες διαδικασίες. Αυτό το επίπεδο πολυπλοκότητας υπογραμμίζει την αυξανόμενη τάση των αντιπάλων να επενδύουν σε εξειδικευμένα έτοιμα εργαλεία για να εξουδετερώσουν τις επιχειρήσεις ασφαλείας.
Η μόλυνση αρχίζει με ένα εκτελέσιμο dropper που είναι συσκευασμένο από το HeartCrypt, σχεδιασμένο να αποφεύγει τις στατικές υπογραφές AV. Μόλις βρεθεί στη μνήμη, το AVKiller χρησιμοποιεί έναν προσαρμοσμένο φορτωτή που αποκωδικοποιεί το ενσωματωμένο payload χρησιμοποιώντας μια ρουτίνα XOR. Ο φορτωτής απαριθμεί τους φορτωμένους οδηγούς και αναζητά ένα τυχαία παραγόμενο όνομα πέντε γραμμάτων, hardcoded μέσα στο αποκωδικοποιημένο payload.
Όταν ο στοχευμένος οδηγός φορτωθεί, το AVKiller εκδίδει άμεσες κλήσεις συστήματος για να τερματίσει κρίσιμες διαδικασίες ασφαλείας. Παρακάμπτοντας τα hooks API (διεπαφής προγραμματισμού εφαρμογών) σε επίπεδο χρήστη και καλώντας απευθείας το NtTerminateProcess, το AVKiller παρακάμπτει κοινά σημεία παρεμβολής EDR. Ο ίδιος ο οδηγός είναι ψηφιακά υπογεγραμμένος με μια παραβιασμένη πιστοποίηση—που κυμαίνεται από την Changsha Hengxiang Information Technology Co., Ltd. έως την Fuzhou Dingxin Trade Co., Ltd.—και οι δύο έχουν λήξει εδώ και χρόνια αλλά παραμένουν μη ανακληθείσες στις λίστες επαλήθευσης πυρήνα. Αυτή η τεχνική επιτρέπει στον οδηγό να φορτωθεί χωρίς να προκαλέσει άμεσες υποψίες από τους ελέγχους ακεραιότητας του πυρήνα.
Δείτε επίσης: Ransomware – Γιατί ο Ιούλιος και ο Αύγουστος είναι "καυτοί" και για τους hackers
Μετά τoν επιτυχή τερματισμό των υπηρεσιών ασφαλείας, ο dropper ενεργοποιεί το payload ransomware—συνήθως συνδεδεμένο με οικογένειες όπως οι Blacksuit, MedusaLocker και INC—ολοκληρώνοντας την αλυσίδα εκμετάλλευσης. Ο modular σχεδιασμός του AVKiller επιτρέπει γρήγορες ενημερώσεις στις λίστες στόχων και στα επίπεδα συσκευασίας, υποδεικνύοντας ενεργή ανάπτυξη και κοινή χρήση μεταξύ ανταγωνιστικών ομάδων ransomware. Καθώς οι υπερασπιστές προσαρμόζονται, η κατανόηση και η παρεμπόδιση των ρουτινών κλήσεων συστήματος του φορτωτή AVKiller και της συμπεριφοράς φόρτωσης οδηγών παραμένει κρίσιμη για την αποτροπή αυτών των εξελιγμένων επιθέσεων.
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672
IT Security News, Gadgets, Tweaks for Geeks and More
Το AVKiller διευκολύνει τις επιθέσεις ransomware
https://www.secnews.gr/655667/avkiller-dieffkolinei-epitheseis-ransomware/
Aug 7th 2025, 18:00
by Absenta Mia
Οι ομάδες κυβερνοασφάλειας έχουν αντιμετωπίσει μια αυξανόμενη απειλή από ένα νέο payload "EDR killer" τους τελευταίους μήνες, που αναφέρεται συχνά ως AVKiller, το οποίο έχει παρατηρηθεί να απενεργοποιεί τις άμυνες των endpoint για να διευκολύνει την ανάπτυξη ransomware.
Δείτε επίσης: SonicWall: Απενεργοποιήστε το SSL VPN λόγω ransomware
Αρχικά ανιχνεύθηκε στα μέσα του 2024, αυτό το εργαλείο εκμεταλλεύεται τον packer-as-a-service HeartCrypt για να αποκρύψει τη πραγματική του λειτουργία και να περάσει απαρατήρητο από τις παραδοσιακές στατικές υπογραφές. Οι επιτιθέμενοι παραδίδουν συνήθως το AVKiller μέσω ενός dropper που προσποιείται ότι είναι ένα νόμιμο εργαλείο—συχνά με την έγχυση κακόβουλου κώδικα σε υπογεγραμμένα εκτελέσιμα αρχεία όπως το Beyond Compare.
Μετά την εκτέλεση, το AVKiller αποκωδικοποιεί το προστατευμένο payload στη μνήμη, αναζητά συγκεκριμένους οδηγούς ασφαλείας και προχωρά στην τερματισμό των σχετικών διαδικασιών, δημιουργώντας μια καθαρή διαδρομή για την επακόλουθη κρυπτογράφηση από ransomware. Οι αναλυτές της Sophos εντόπισαν τα αρχικά δείγματα του AVKiller που στοχεύουν προϊόντα της Sophos, και οι μεταγενέστερες παραλλαγές διεύρυναν την εστίασή τους για να περιλάβουν ένα ευρύ φάσμα προμηθευτών όπως οι Bitdefender, Kaspersky, SentinelOne και Microsoft Defender.
Το εργαλείο αναζητά ένα τυχαία ονομασμένο αρχείο οδηγού (για παράδειγμα, mraml.sys), το φορτώνει αν είναι παρόν και στη συνέχεια τερματίζει τις τρέχουσες διαδικασίες ή υπηρεσίες που σχετίζονται με γνωστές λύσεις antivirus και EDR. Αν ο οδηγός λείπει, το AVKiller δημιουργεί μια υπηρεσία με παρόμοιο όνομα και τερματίζει με ένα μήνυμα σφάλματος, «Αποτυχία στην απόκτηση συσκευής», διασφαλίζοντας ότι οι υπερασπιστές συναντούν περιορισμένα αποδεικτικά στοιχεία εγκληματικής δραστηριότητας.
Δείτε ακόμα: Το Interlock Ransomware χρησιμοποιεί την τεχνική ClickFix
Η επίδραση του AVKiller έχει υπάρξει σημαντική. Σε ένα υψηλού προφίλ περιστατικό, η ομάδα RansomHub ανέπτυξε το payload εναντίον ενός μεγάλου δικτύου επιχείρησης, απενεργοποιώντας με επιτυχία την ανίχνευση δυναμικού shellcode και τους μηχανισμούς ελέγχου συσκευών πριν απελευθερώσει την κρυπτογράφηση αρχείων. Μέσα σε λίγα λεπτά, κρίσιμοι διακομιστές παραβιάστηκαν και οι προσπάθειες αποκατάστασης εμποδίστηκαν από την απουσία ενεργής προστασίας EDR.
Το AVKiller διευκολύνει τις επιθέσεις ransomware
Η ανάλυση των δεδομένων τηλεμετρίας αποκάλυψε ότι το AVKiller εκτέλεσε πολλές ρουτίνες αποκλεισμού SysCall, εμποδίζοντας τα εργαλεία ζωντανής απόκρισης να εγχυθούν σε προστατευμένες διαδικασίες. Αυτό το επίπεδο πολυπλοκότητας υπογραμμίζει την αυξανόμενη τάση των αντιπάλων να επενδύουν σε εξειδικευμένα έτοιμα εργαλεία για να εξουδετερώσουν τις επιχειρήσεις ασφαλείας.
Η μόλυνση αρχίζει με ένα εκτελέσιμο dropper που είναι συσκευασμένο από το HeartCrypt, σχεδιασμένο να αποφεύγει τις στατικές υπογραφές AV. Μόλις βρεθεί στη μνήμη, το AVKiller χρησιμοποιεί έναν προσαρμοσμένο φορτωτή που αποκωδικοποιεί το ενσωματωμένο payload χρησιμοποιώντας μια ρουτίνα XOR. Ο φορτωτής απαριθμεί τους φορτωμένους οδηγούς και αναζητά ένα τυχαία παραγόμενο όνομα πέντε γραμμάτων, hardcoded μέσα στο αποκωδικοποιημένο payload.
Όταν ο στοχευμένος οδηγός φορτωθεί, το AVKiller εκδίδει άμεσες κλήσεις συστήματος για να τερματίσει κρίσιμες διαδικασίες ασφαλείας. Παρακάμπτοντας τα hooks API (διεπαφής προγραμματισμού εφαρμογών) σε επίπεδο χρήστη και καλώντας απευθείας το NtTerminateProcess, το AVKiller παρακάμπτει κοινά σημεία παρεμβολής EDR. Ο ίδιος ο οδηγός είναι ψηφιακά υπογεγραμμένος με μια παραβιασμένη πιστοποίηση—που κυμαίνεται από την Changsha Hengxiang Information Technology Co., Ltd. έως την Fuzhou Dingxin Trade Co., Ltd.—και οι δύο έχουν λήξει εδώ και χρόνια αλλά παραμένουν μη ανακληθείσες στις λίστες επαλήθευσης πυρήνα. Αυτή η τεχνική επιτρέπει στον οδηγό να φορτωθεί χωρίς να προκαλέσει άμεσες υποψίες από τους ελέγχους ακεραιότητας του πυρήνα.
Δείτε επίσης: Ransomware – Γιατί ο Ιούλιος και ο Αύγουστος είναι "καυτοί" και για τους hackers
Μετά τoν επιτυχή τερματισμό των υπηρεσιών ασφαλείας, ο dropper ενεργοποιεί το payload ransomware—συνήθως συνδεδεμένο με οικογένειες όπως οι Blacksuit, MedusaLocker και INC—ολοκληρώνοντας την αλυσίδα εκμετάλλευσης. Ο modular σχεδιασμός του AVKiller επιτρέπει γρήγορες ενημερώσεις στις λίστες στόχων και στα επίπεδα συσκευασίας, υποδεικνύοντας ενεργή ανάπτυξη και κοινή χρήση μεταξύ ανταγωνιστικών ομάδων ransomware. Καθώς οι υπερασπιστές προσαρμόζονται, η κατανόηση και η παρεμπόδιση των ρουτινών κλήσεων συστήματος του φορτωτή AVKiller και της συμπεριφοράς φόρτωσης οδηγών παραμένει κρίσιμη για την αποτροπή αυτών των εξελιγμένων επιθέσεων.
You are receiving this email because you subscribed to this feed at https://blogtrottr.com?lctg=1169672
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz?lctg=1169672