TTL OSINT

14.08.2024 318 1 мин.

Злоумышленники-вымогатели добавили в свой арсенал новый EDR-убийца

Компания Sophos выявила новую группу программ-вымогателей RansomHub, которая разработала новый инструмент под названием EDRKillShifter для отключения систем обнаружения конечных точек и реагирования на них (EDR). Этот инструмент, написанный на русском языке и предназначенный для злоупотребления законными драйверами, используется для получения привилегий, достаточных для отключения защиты EDR-инструмента. Загрузчик этого инструмента, который использует те же данные о версии и название продукта, расшифровывает встроенный ресурс и выполняет конечную загрузку, которая написана на Go и затемнена. Конечная загрузка использует уязвимый, легальный драйвер для завершения работы EDR tools. Sophos распознал EDRKillShifter как троянскую программу/KillAV-KG и предоставляет правила поведенческой защиты, чтобы блокировать уклонение от защиты и повышение привилегий.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://news.sophos.com/en-us/2024/08/14/edr-kill-shifter/

Выборочные показатели Compromise:

• d0f9eae1776a98c77a6c6d66a3fd32cee7ee6148a7276bc899c1a1376865d9b0
• 451f5aa55eb207e73c5ca53d249b95911d3fad6fe32eee78c58947761336cc60

Источник: TTL OSINT