ប្រតិបត្តិករមេរោគចាប់ជម្រិត RansomHub កំពុងតែដាក់ពង្រាយមេរោគ Malware ថ្មី ដើម្បីបិទការការពារ (Disable Endpoint Detection) Endpoint និងកម្មវិធីសន្តិសុខឆ្លើយតប (Response (EDR) Security Software) នៅក្នុងការវាយប្រហារ Bring Your Own Vulnerable Driver (BYOVD)។
អ្នកស្រាវជ្រាវសន្តិសុខនៅក្រុមហ៊ុន Sophos បានដាក់ឈ្មោះថា EDRKillShifter ដែលបានរកឃើញមេរោគថ្មីនេះកាលពីខែឧសភា ឆ្នាំ២០២៤ នៅក្នុងការស៊ើបអង្កេតរកមេរោគចាប់ជម្រិត មេរោគ Malware ដាក់ពង្រាយមានលក្ខណៈស្របច្បាប់, Driver ដែលមានភាពងាយរងគ្រោះនៅលើឧបករណ៍គោលដៅដើម្បីបង្កើតសិទ្ធិពិសេស ក្នុងការបិទទាក់ទងទៅនឹងដំណោះស្រាយសុវត្ថិភាព (Disable Security Solutions) និងធ្វើការគ្រប់គ្រងលើប្រព័ន្ធ។ បច្ចេកទេសនេះពេញនិយមនៅក្នុងចំណោមហេគឃ័រ រាប់ចាប់ពីហេគឃ័រដែលជំរុញដោយហិរញ្ញវត្ថុ ដល់ក្រុមហេគឃ័រដែលគាំទ្រដោយរដ្ឋ។
អ្នកស្រាវជ្រាវនៅ Sophos បានថ្លែងថា នៅអំឡុងពេលនៃឧប្បត្តិហេតុខែឧសភា ហេគឃ័រ (យើងប៉ាន់ស្មានដោយមានទំនុកចិត្តថា ឧបករណ៍នេះកំពុងត្រូវបានប្រើប្រាស់ដោយអ្នកវាយប្រហារជាច្រើននាក់) ប៉ុនប៉ងប្រើ EDRKillShifter សម្រាប់លុបការការពារ Sophos នៅលើកុំព្យូទ័រគោលដៅ ប៉ុន្តែត្រូវបានបរាជ័យ។ បន្ទាប់មក ពួកគេចង់ដំណើរការប្រតិបត្តិការមេរោគចាប់ជម្រិតនៅលើម៉ាស៊ីនដែលពួកគេគ្រប់គ្រង ប៉ុន្តែនៅតែបរាជ័យ នៅពេលដែលមុខងារ CryptoGuard របស់ទីភ្នាក់ងារចុងក្រោយ (Endpoint) ត្រូវបានជំរុញ។ នៅពេលមានការស៊ើបអង្កេត ក្រុមហ៊ុន Sophos បានរកឃើញគម្រូចំនួន២ផ្សេងគ្នា ទាំង២សុទ្ធតែមាន Proof-of-Concept ដែលអាចកេងចំណេញបាននៅលើ GitHub។ ១នៃការកេងចំណេញគឺ Driver ដែលងាយនឹងរងគ្រោះត្រូវបានគេស្គាល់ថាជា RentDrv2 និងការកេងចំណេញមួយផ្សេងទៀតនៃ Driver គឺ ThreatFireMonitor ដែលជាផ្នែកនៃកញ្ចប់ត្រួតពិនិត្យប្រព័ន្ធដែលបដិសេធ។ ក្រុមហ៊ុន Sophos ក៏បានរកឃើញថា EDRKillShifter អាចបញ្ជូន Driver Payloads ផ្សេងៗដែលផ្អែកលើតម្រូវការរបស់ហេគឃ័រ និងថាលក្ខណៈនៃភាសារបស់មេរោគបង្ហាញថា វាត្រូវបានចងក្រងនៅលើកុំព្យូទ័រជាមួយនឹងមូលដ្ឋាននៃភាសារុស្ស៊ី។
ប្រតិបត្តិការរបស់ Loader ពាក់ព័ន្ធនឹងជំហានចំនួន៣ ទីមួយអ្នកវាយប្រហារដាក់ចេញ EDRKillShifter Binary ជាមួយ Password String ដើម្បីឌីគ្រីប និងប្រតិបត្តិការប្រភពដែលបានលាក់ទុកឈ្មោះ BIN នៅក្នុងអង្គចងចាំ។ បន្ទាប់មក កូដនេះលា (Unpacks) និងប្រតិបត្តិការ Payload ចុងក្រោយ ដែលបានទម្លាក់ និងគេងចំណេញលើភាពងាយរងគ្រោះរបស់ Driver ស្របច្បាប់ ដើម្បីបង្កើនសិទ្ធិ និងបិទដំណើរការ រួមទាំងសេវា EDR។ អ្នកស្រាវជ្រាវបានបន្ថែមថា បន្ទាប់ពីមេរោគ Malware ត្រូវបានបង្កើតសេវាថ្មីសម្រាប់ Driver ចាប់ផ្តើម Service និង Loads Drivers វាត្រូវបានបញ្ចូល Endless Loop ដែលដំណើរការជាបន្តបន្ទាប់ ដែលនឹងបញ្ចប់ដំណើរការប្រសិនបើឈ្មោះរបស់វាបង្ហាញនៅក្នុងបញ្ជី Hardcoded នៃគោលដៅ។ គួរកត់សម្គាល់ដែរថា ទាំងអញ្ញត្តិកេងចំណេញស្របច្បាប់ (ទោះជាងាយរងគ្រោះ) Drivers ដែលបានប្រើនូវ Proof-of-concept គឺសម្រាប់ធ្វើការកេងចំណេញលើ Github។ ក្រុមហ៊ុនសង្ស័យថា ហេគឃ័របានថតចម្លង Portions នៃ Proof-of-Concept ទាំងនោះហើយធ្វើការ Modified ពួកវា និងបញ្ជូនកូដទៅ Go Language ។ ក្រុមហ៊ុន Sophos ណែនាំឱ្យបើកការការពារ Endpoint Security Products រក្សាការផ្តាច់ចេញពីគ្នារវាងសិទ្ធិអ្នកប្រើ និងអ្នកគ្រប់គ្រង ដើម្បីការពារហេគឃ័រពីការ Loading Vulnerable Drivers និងការរក្សាប្រព័ន្ធឱ្យទាន់សម័យ។ កាលពីឆ្នាំមុន ក្រុមហ៊ុន Sophos បានប្រទះឃើញមេរោគ EDR-killing មានឈ្មោះថា AuKill ដែលត្រូវបានប្រើសម្រាប់កេងចំណេញលើភាពងាយរងគ្រោះ Process Explorer Driver នៅក្នុង Medusa Locker និងការវាយប្រហារដោយមេរោគចាប់ជម្រិត LockBit។ ក្រុម AuKill ស្រដៀងគ្នានឹងមេរោគ Open-Source Tool ដែលគេស្គាល់ថាជា Backstab ហើយក៏បានគេងចំណេញលើភាពងាយរងគ្រោះ Process Explorer Drivers និងត្រូវបានប្រើដោយក្រុម LockBit នៅក្នុងការវាយប្រហារមួយដែលរកឃើញដោយក្រុម Sophos X-Ops៕
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៥ ខែសីហា ឆ្នាំ២០២៤
