پرش به محتوا
آخرین اخبار
مایکروسافت نقص RoguePlanet در Microsoft Defender را برطرف کرد باج‌افزار GodDamn با درایور PoisonX آنتی‌ویروس‌ها را از کار می‌اندازد شبکه Lurking Lizard با بیش از ۲۳۰ دامنه جعلی برای فروش پراکسی مخرب شناسایی شد بدافزار RedWing برای سرقت حساب‌های بانکی اندروید اجاره داده می‌شود حمله GitLost مخازن خصوصی GitHub را تهدید می‌کند تلاش مهاجمان برای سوءاستفاده از آسیب‌پذیری بحرانی Gitea تنها ۱۳ روز پس از انتشار وصله آغاز شد پژوهشگران: ابزارهای شناسایی مهارت‌های مخرب هوش مصنوعی به‌راحتی دور زده می‌شوند روش جدید TrojPix اطلاعات را از رایانه‌های ایزوله از طریق کابل نمایشگر استخراج می‌کند مایکروسافت نقص RoguePlanet در Microsoft Defender را برطرف کرد باج‌افزار GodDamn با درایور PoisonX آنتی‌ویروس‌ها را از کار می‌اندازد شبکه Lurking Lizard با بیش از ۲۳۰ دامنه جعلی برای فروش پراکسی مخرب شناسایی شد بدافزار RedWing برای سرقت حساب‌های بانکی اندروید اجاره داده می‌شود حمله GitLost مخازن خصوصی GitHub را تهدید می‌کند تلاش مهاجمان برای سوءاستفاده از آسیب‌پذیری بحرانی Gitea تنها ۱۳ روز پس از انتشار وصله آغاز شد پژوهشگران: ابزارهای شناسایی مهارت‌های مخرب هوش مصنوعی به‌راحتی دور زده می‌شوند روش جدید TrojPix اطلاعات را از رایانه‌های ایزوله از طریق کابل نمایشگر استخراج می‌کند
اخبار

باج‌افزار GodDamn با درایور PoisonX آنتی‌ویروس‌ها را از کار می‌اندازد

تیر ۱۸, ۱۴۰۵ نوشتهٔ hraicp3

کمیته رکن چهارم – پژوهشگران امنیت سایبری از شناسایی باج‌افزار جدید GodDamn خبر داده‌اند که با استفاده از درایور هسته‌ای PoisonX، راهکارهای امنیتی را غیرفعال کرده و سپس اقدام به رمزگذاری فایل‌های قربانی می‌کند.

به گزارش کمیته رکن چهارم، شرکت Symantec اعلام کرد باج‌افزار GodDamn که از اردیبهشت ۱۴۰۵ مشاهده شده، نسخه تغییرنام‌یافته باج‌افزار Beast است. مهاجمان در یکی از حملات، ابتدا با استفاده از AnyDesk به شبکه قربانی نفوذ کرده و سپس با ابزارهای NirSoft اطلاعات حساسی مانند گذرواژه‌های مرورگر، Windows Credential Manager، پروفایل‌های Wi-Fi، ایمیل‌ها و نشست‌های VNC را سرقت کردند.

در ادامه، مهاجمان با بهره‌گیری از تکنیک BYOVD و درایور امضاشده PoisonX، محصولات امنیتی از جمله آنتی‌ویروس‌ها و سامانه‌های EDR را از کار انداخته و با استفاده از PsExec و AnyDesk در شبکه حرکت جانبی انجام دادند. بررسی‌ها نشان می‌دهد این درایور پیش‌تر نیز توسط گروه باج‌افزاری The Gentlemen برای غیرفعال کردن سامانه‌های دفاعی مورد استفاده قرار گرفته بود.

به گفته Symantec، باج‌افزار GodDamn پس از تثبیت دسترسی، فایل‌های قربانی را رمزگذاری کرده و در این نمونه، به‌جای پسوند ثابت، از نام سازمان قربانی برای تغییر نام فایل‌ها استفاده کرده است. مهاجمان نیز از قربانیان خواسته‌اند برای مذاکره از طریق ایمیل یا پیام‌رسان qTox با آن‌ها ارتباط برقرار کنند.

پژوهشگران معتقدند استفاده از درایور PoisonX نشان‌دهنده افزایش توانایی این گروه در دور زدن راهکارهای امنیتی و توسعه مستمر ابزارهای باج‌افزاری است.

منبع: The Hacker News