พบเครื่องมือสำหรับปิดการทำงานของระบบ Endpoint Detection and Response (EDR) ตัวใหม่ ซึ่งถือเป็นเวอร์ชันพัฒนาต่อจาก “EDRKillShifter” ที่สร้างโดยกลุ่ม RansomHub ถูกพบว่ากำลังถูกนำไปใช้ในการโจมตีโดยกลุ่มแรนซัมแวร์ถึง 8 กลุ่ม
เครื่องมือประเภทนี้ช่วยให้กลุ่มแรนซัมแวร์สามารถปิดการทำงานของซอฟต์แวร์รักษาความปลอดภัยบนระบบที่ถูกโจมตี เพื่อที่จะติดตั้งเพย์โหลด, ยกระดับสิทธิ์ และพยายามโจมตีต่อไปยังระบบอื่น ๆ ในเครือข่าย รวมถึงเข้ารหัสอุปกรณ์ในเครือข่ายได้โดยไม่ถูกตรวจจับ
นักวิจัยด้านความปลอดภัยของ Sophos ระบุว่า เครื่องมือตัวใหม่นี้ยังไม่มีชื่อเฉพาะเจาะจง แต่กำลังถูกใช้งานโดยกลุ่ม RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx และ INC
เครื่องมือ EDR Killer ตัวใหม่นี้ใช้ไบนารีที่มีการ obfuscated อย่างซับซ้อน ซึ่งจะ decoded ตัวเองในขณะที่กำลังทำงานอยู่ และจะถูก injected เข้าไปในแอปพลิเคชันที่มีความน่าเชื่อถือ
เครื่องมือนี้จะใช้ digitally signed driver (certificate ที่ถูกขโมยมา หรือหมดอายุ) ซึ่งมีชื่อแบบ random จำนวน 5 ตัวอักษร และชื่อนั้นจะถูก hardcoded ไว้ในไฟล์ executable
driver ที่เป็นอันตรายจะถูกโหลดลงใน kernel เพื่อใช้ดำเนินการโจมตีแบบ “bring your own vulnerable driver” (BYOVD) และยกระดับสิทธิ์เป็นระดับ kernel ซึ่งจำเป็นต่อการปิดการทำงานของระบบรักษาความปลอดภัย
driver นี้จะปลอมตัวเป็นไฟล์ที่ดูมีความน่าเชื่อถือ เช่น CrowdStrike Falcon Sensor Driver แต่เมื่อเริ่มทำงานแล้ว จะปิด process ที่เกี่ยวข้องกับ AV/EDR และหยุดการทำงานของบริการที่เชื่อมโยงกับเครื่องมือรักษาความปลอดภัย
ผู้ผลิตซอฟต์แวร์ที่ตกเป็นเป้าหมาย ได้แก่ Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro และ Webroot
แม้ว่าเครื่องมือ EDR Killer ตัวใหม่จะมีความแตกต่างกันในด้านชื่อ driver, ซอฟต์แวร์ป้องกันมัลแวร์ที่เป็นเป้าหมาย และลักษณะการสร้าง แต่ทั้งหมดนั้นใช้ HeartCrypt ในการ packing และมีหลักฐานที่แสดงให้เห็นถึงการแบ่งปันความรู้ และเครื่องมือกันระหว่างกลุ่มผู้โจมตีที่มีการแข่งขันกันเอง
Sophos ระบุว่า เครื่องมือนี้ไม่น่าจะรั่วไหลออกมาแล้วถูกเอาไปใช้ซ้ำโดยกลุ่มผู้โจมตีอื่น แต่มีแนวโน้มว่าจะถูกพัฒนาผ่านระบบ หรือโครงสร้างที่ใช้ร่วมกันระหว่างหลายกลุ่ม
Sophos ระบุเพิ่มเติมว่า เพื่อความชัดเจน ไม่ใช่ว่ามีไฟล์ EDR killer ตัวเดียวหลุดออกมาแล้วทุกกลุ่มจะนำไปใช้ แต่การโจมตีแต่ละครั้งใช้เครื่องมือเฉพาะอย่างที่แตกต่างกัน
กลยุทธ์การใช้เครื่องมือร่วมกัน โดยเฉพาะเครื่องมือที่ปิดการทำงานของ EDR เป็นเรื่องที่พบได้บ่อยในวงการแรนซัมแวร์
นอกจาก EDRKillShifter แล้ว Sophos ยังค้นพบเครื่องมืออีกตัวชื่อ AuKill ซึ่งกลุ่ม Medusa Locker และ LockBit เคยใช้ในการโจมตี
เมื่อปีที่แล้ว SentinelOne ก็รายงานว่ากลุ่ม FIN7 ได้นำเครื่องมือเฉพาะที่พัฒนาขึ้นเองชื่อ “AvNeutralizer” ไปขายให้กับกลุ่มแรนซัมแวร์หลายกลุ่ม เช่น BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona และ LockBit
IoCs ทั้งหมดที่เกี่ยวข้องกับเครื่องมือที่ปิดการทำงานของระบบ EDR ตัวใหม่สามารถดูได้จาก https://github.com/sophoslabs/IoCs/blob/master/06082025-edrkiller-iocs.csv
ที่มา : bleepingcomputer