Crypto24 sakdevare rammer store organisasjoner med tilpasset EDR-unngåelsesverktøy.
Crypto24 sakdevare rammer store organisasjoner med tilpasset EDR-unngåelsesverktøy
Crypto24-gruppen har nylig blitt observert i angrep mot store organsisasjoner i USA, Europa og Asia, spesielt innen finans, produksjon, underholdning og teknologi. Etter å ha fått inital tilgang så oppretter de administrative eller lokale kontoer, gjennomfører rekognosering via batch-script og setter opp vedvarende tilgang med skadelige Windosw-tjenester som "WinMainSvc" (keylogger) og "MSRuntime" (ransomware-logger). Deretter bruker de en tilpasset variant av verktøyet RealBindingEDR, som prøver å indentifisere hvilke EDR-løsninger som er tilstede. Om noen EDR-løsninger blir indentifisert, så vil den forsøke å "blinde" disse ved å deaktivere kernelhooks. Spesielt for Trend Micro kjøres en legitim avinstaller, XBCUninstaller.exe, for å fjerne Trend Vision One og unngå oppdagelse. Til slutt eksfilterer den data via Google Drive ved hjelp av WinINET.
Trend Micro har i slutten av rapporten sin delt en liste av indikatorer på kompromitering av Crypto242 skadevare som organisasjoner kan bruke for å potensielt oppdage den.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.