กลุ่ม Gentlemen Ransomware-as-a-Service (RaaS) กำลังดำเนินการพัฒนา และ Maintaining ชุดเครื่องมือสำหรับหยุดการทำงานของระบบ Endpoint Detection and Response (EDR) อย่างต่อเนื่อง เพื่อช่วยให้เครือข่ายผู้ร่วมโจมตีสามารถหลบเลี่ยงการตรวจจับในระหว่างดำเนินการโจมตีได้
กลุ่มนี้ใช้ชุดเครื่องมือ EDR-killing หลายตัว ที่โดดเด่นที่สุดคือ Utility ที่นักวิจัยตั้งชื่อว่า GentleKiller เครื่องมือนี้มีมัลแวร์อย่างน้อย 8 สายพันธุ์ และถูกนำไปปลอมแปลงเป็นผลิตภัณฑ์ด้านความปลอดภัยที่ถูกต้องหลายตัว เช่น Kaspersky, Valorant, Javelin และ WatchDog
โดยทั่วไปแล้ว EDR killer จะถูกใช้เพื่อปิดการทำงานของระบบป้องกันในระยะเริ่มต้นของการโจมตี และในกรณีของเหตุการณ์แรนซัมแวร์ เครื่องมือเหล่านี้จะช่วยให้แน่ใจว่ากระบวนการขโมยข้อมูล หรือการเข้ารหัสสามารถทำงานได้โดยไม่มีอุปสรรคมาขัดขวาง
เครื่องมือเหล่านี้ทำงานโดยอาศัยเทคนิค 'bring your own vulnerable driver' (BYOVD) เพื่อยกระดับสิทธิ์ และปิดการทำงานของระบบรักษาความปลอดภัย
ตามรายงานของทีมนักวิจัยจาก ESET พบว่ามัลแวร์ GentleKiller แต่ละสายพันธุ์มีการใช้ไดรเวอร์ที่มีช่องโหว่แตกต่างกันออกไป เพื่อให้ได้มาซึ่งสิทธิ์การเข้าถึงระดับ Kernel อย่างไรก็ตาม ทุกสายพันธุ์ล้วนมีค่า Strings ที่ใช้ร่วมกัน ใช้เทคนิคการซ่อนโค้ดรูปแบบเดียวกัน ตลอดจนมี Logic ในการหยุดการทำงานของโปรเซส และขอบเขตการกำหนดเป้าหมายที่คล้ายคลึงกัน
การวิเคราะห์สายพันธุ์ต่าง ๆ แสดงให้เห็นว่า Framework นี้ถูกออกแบบมาให้สามารถสับเปลี่ยนไดรเวอร์ หรือนำช่องโหว่ที่เพิ่งเปิดเผยใหม่มาใช้ในการโจมตีได้อย่างง่ายดาย โดยไม่จำเป็นต้องแก้ไขโค้ดทั้งหมด
ESET ระบุว่า GentleKiller มุ่งเป้าไปที่โปรเซสมากกว่า 400 โปรเซส ซึ่งเกี่ยวข้องกับผู้จัดจำหน่ายผลิตภัณฑ์ด้านความปลอดภัยประมาณ 48 ราย เช่น Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix และ Kaspersky
ไฟล์ Binary สำหรับเครื่องมือ EDR killer ได้รับการปกป้องโดยเครื่องมือ Commercial สำหรับทำ Packing และ Code-protection ได้แก่ Enigma และ Themida นอกจากนี้ ESET ยังระบุว่า กลุ่มผู้ไม่หวังดีมีการใช้ Digital signatures ที่ถูกขโมยมาจากซอฟต์แวร์ที่ถูกต้อง แม้ว่า Digital signatures เหล่านั้นจะอยู่ในสถานะ Invalid แล้วก็ตาม
แม้ว่า GentleKiller จะเป็นเครื่องมือมาตรฐานที่ใช้ในการโจมตีของแรนซัมแวร์ Gentlemen แต่ ESET รายงานว่า ในชุดเครื่องมือ EDR killers ของกลุ่มผู้ไม่หวังดีนี้ ยังรวมเอาเครื่องมือจากภายนอกมาใช้อีกอย่างน้อย 3 ตัว ได้แก่
- HexKiller ที่ก่อนหน้านี้เคยถูกใช้โดยกลุ่ม Warlock
- ThrottleBlood ที่เชื่อมโยงกับการโจมตีของ MesudaLocker และ DragonForce
- HavocKiller ที่พบเห็นได้จากการโจมตีของแรนซัมแวร์อื่น ๆ เช่นกัน
Gentlemen RaaS อาจเพิ่มเครื่องมือเหล่านี้เข้ามาเพื่อเป็นเครื่องมือสำรอง, เพิ่มความซับซ้อนในการสืบหาต้นตอของผู้โจมตี หรือเพื่อนำมาใช้ในบางกรณีที่ประสิทธิภาพของ GentleKiller อาจมีข้อจำกัด
นอกจากนี้ ESET ยังได้บันทึกข้อมูลการใช้ OxideHarvest ซึ่งเป็นเครื่องมือ Credential-stealer ที่เขียนด้วยภาษา Rust โดยพิจารณาจากภาษาโปรแกรมที่เลือกใช้ ทำให้นักวิจัยเชื่อว่าเครื่องมือนี้ถูกพัฒนาขึ้นจากภายนอก
การวิเคราะห์ของนักวิจัยชี้ให้เห็นว่าแรนซัมแวร์ Gentlemen เลือกเป้าหมายโดยอิงจากการตั้งค่าของอุปกรณ์ FortiGate endpoints ของเป้าหมาย ประเด็นนี้น่าสนใจเป็นพิเศษเมื่อพิจารณาถึงการค้นพบ "FortiBleed" เมื่อเร็ว ๆ นี้ ซึ่งเป็นชุดข้อมูล Credentials ของ FortiGate VPN ที่รั่วไหลออกมาเกือบ 74,000 รายการ
ก่อนหน้านี้ Gentlemen RaaS เคยโจมตีระบบของ Oltenia ซึ่งเป็นผู้ให้บริการด้านพลังงานของประเทศโรมาเนียมาแล้ว และยังมีความเชื่อมโยงกับ Botnet มัลแวร์ Proxy ที่ชื่อ SystemBC ซึ่งมีเครื่อง Hosts ที่ติดมัลแวร์มากกว่า 1,570 เครื่อง โดยเชื่อว่าเหยื่อเหล่านี้เป็นกลุ่มองค์กรธุรกิจ
ที่มา : bleepingcomputer
You must be logged in to post a comment.