一组与RansomHub操作相关的团伙使用EDR杀手工具EDRKillShifter

Sophos报告称，一组黑客团伙，可能与RansomHub勒索软件操作相关，已经被观察到使用新的EDR杀手工具EDRKillShifter，该工具可以在受感染系统中终止端点检测和响应软件。研究人员在五月的一起事件中发现了这个工具，当时攻击者试图使用EDRKillShifter来终止Sophos解决方案，但是工具失败。

研究人员认为EDRKillShifter可能被多个攻击者使用。Sophos发布报告中写道：“五月的一起事件中，攻击者——我们估计有中等自信度，这工具可能被多个攻击者使用——尝试使用EDRKillShifter来终止Sophos保护，但是工具失败。”“然后，他们尝试在控制的机器上运行勒索软件可执行文件，但是当端点代理的加密保护功能被触发时，也失败了。”

EDRKillShifter 工具是一个加载器可执行文件，用于提供可被攻击者利用的易受攻击的驱动程序（BYOVD 工具）。它分三个步骤运行：

• BIN代码然后解包并运行最后一个Go编写的负载，该负载利用合法驱动程序的脆弱点来禁用EDR保护。
• 攻击者使用命令行密码运行EDRKillShifter工具。
• 工具解密并在内存中执行嵌入的资源名为BIN。
•  

RansomHub是一个勒索软件作为服务（RaaS），被多个威胁actor所使用。微软报告称，RansomHub在Mustard Tempest通过FakeUpdates/Socgholish感染后，在Manatee Tempest的后续活动中被部署。专家认为，RansomHub是Knight勒索软件的重brand。Knight， également known as Cyclops 2.0，2023年5月出现在威胁land scape中。该恶意软件目标多个平台，包括Windows、Linux、macOS、ESXi和Android。操作员使用双重勒索模型进行RaaS操作。Knight ransomware-as-a-service操作在2024年2月关闭，恶意软件的源代码可能被出售给了后来 relaunch RansomHub操作的威胁actor。

RansomHub声称对多个组织进行攻击，包括Change Healthcare、Christie’s和Frontier Communications。Symantec的研究人员发现了RansomHub和Knight勒索软件家族之间的多个相似之处，表明它们有共同的起源：两者都是用Go编写的，并使用Gobfuscate进行混淆。它们共享了广泛的代码重叠。两者使用的命令行帮助菜单相同，除了RansomHub上的“sleep”命令。两者都使用独特的混淆技术来编码重要字符串。两者的勒索邮件显示了显着的相似之处，Knight的邮件中的许多短语出现在RansomHub的邮件中，表明开发者可能编辑和更新了原始邮件。两者都在加密之前重启端点以安全模式。命令执行的顺序和方法相同，然而RansomHub现在使用cmd.exe进行执行。然而，尽管两者共享起源，但Knight的作者现在不太可能操作RansomHub。

Symantec发布的报告中写道：“两者之间的主要差异是通过cmd.exe运行的命令。虽然特定的命令可能不同，但它们可以在 payload构建时或在配置时配置。尽管命令不同，命令的顺序和方法相对于其他操作保持相同。”

原文始发于微信公众号（黑猫安全）：一组与RansomHub操作相关的团伙使用EDR杀手工具EDRKillShifter