研究人员观察到 RansomHub 勒索软件团伙使用 TDSSKiller 工具禁用端点检测和响应 (EDR) 系统。Malwarebytes ThreatDown 托管检测和响应 (MDR) 团队观察到,RansomHub 勒索软件团伙正在使用 TDSSKiller 工具禁用端点检测和响应 (EDR) 系统。TDSSKiller 是网络安全公司卡巴斯基开发的用于删除 rootkit 的合法工具,该软件还可以通过命令行脚本或批处理文件禁用 EDR 解决方案。专家们注意到,勒索软件组织还使用 LaZagne 工具来收集凭据。在 MDR 调查的案件中,专家观察到 LaZagne 生成了 60 次文件写入,可能记录了提取的凭据,并执行了 1 次文件删除,可能隐藏了凭据收集活动的痕迹。“尽管 TDSSKiller 和 LaZagne 都已被攻击者使用多年,但这是 RansomHub 在其运营中使用它们的首次记录,其中 TTP 未列在 CISA 最近发布的 RansomHub 公告中。”“这些工具是在初始侦察和网络探测之后通过管理员组枚举(例如 net1 组 'Enterprise Admins' /do)部署的。”RansomHub 使用带有 -dcsvc 标志的 TDSSKiller 尝试禁用关键安全服务,特别是针对 Malwarebytes 反恶意软件服务 (MBAMService)。该命令旨在通过禁用此服务来破坏安全防御。命令行:其中 -dcsvc 标志用于定位特定服务。在这种情况下,攻击者尝试禁用 MBAMService。tdsskiller.exe -dcsvc MBAMService RansomHub 是一种勒索软件即服务 (RaaS),用于多个威胁行为者的操作。Microsoft 报告称,在 Mustard Tempest 通过 FakeUpdates/Socgholish 感染进行初始访问后,观察到被跟踪为 Manatee Tempest 的威胁行为者在入侵后活动中部署 RansomHub。专家认为 RansomHub 是 Knight 勒索软件的更名。Knight,也被称为 Cyclops 2.0,于 2023 年 5 月出现在威胁态势中。该恶意软件针对多个平台,包括 Windows、Linux、macOS、ESXi 和 Android。运营商在其 RaaS 运营中使用了双重勒索模型。这不是安全专家第一次记录卡巴斯基开发的工具的使用情况。深信服 Cyber Guardian 事件响应团队报告称,LockBit 勒索软件团伙使用 TDSSKiller 的 -dcsvc 参数作为其攻击链的一部分。攻击者使用合法工具,因为安全解决方案不会阻止它们。Malwarebytes 分享了这些攻击的入侵指标 (IoC),并建议:通过网络分段隔离关键系统,以限制横向移动。通过实施控制措施来监控和限制易受攻击的驱动程序(如 TDSSKiller),尤其是在使用可疑命令行标志(如 .隔离或阻止已知的滥用模式,同时允许合法使用可以防止 BYOVD 攻击。
