Cảnh báo nguy cơ từ chiến dịch ransomware Medusa và driver độc hại ABYSSWORKER

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
94
726 bài viết
Cảnh báo nguy cơ từ chiến dịch ransomware Medusa và driver độc hại ABYSSWORKER
Trong tháng 3/2025, các cuộc tấn công mạng sử dụng mã độc tống tiền (ransomware) và mã độc đánh cắp thông tin gia tăng đáng kể. Đáng chú ý, nhóm tội phạm mạng Medusa đã mở rộng phạm vi hoạt động, áp dụng các kỹ thuật tinh vi nhằm vô hiệu hóa hệ thống bảo mật của nạn nhân, đe dọa nghiêm trọng đến các tổ chức, doanh nghiệp và cá nhân.

Medusa Ransomware - Mối đe dọa toàn cầu

Giữa tháng 3/2025, Cơ quan An ninh mạng (CISA) và Cục Điều tra Liên bang Mỹ (FBI) đưa ra cảnh báo về nhóm Medusa - một tổ chức tội phạm mạng chuyên sử dụng ransomware để tống tiền các cơ quan chính phủ, doanh nghiệp, bệnh viện và trường học.

Nhóm này khai thác lỗ hổng để thâm nhập vào hệ thống, mã hóa dữ liệu và yêu cầu tiền chuộc, với số tiền có thể lên đến hàng triệu USD. Một trong số các nạn nhân đáng chú ý là Dịch vụ Tài chính Toyota bị đòi tiền chuộc vào tháng 11/2023.

1742797084932.png

Vì vậy, các chuyên gia an ninh mạng khuyến cáo:
  • Bảo mật dịch vụ điều khiển từ xa và VPN.
  • Cập nhật các bản vá bảo mật mới nhất.
  • Sao lưu dữ liệu quan trọng định kỳ.
  • Giám sát và phát hiện mối đe dọa sớm.
  • Nâng cao nhận thức an ninh mạng và bảo vệ thông tin cá nhân.

ABYSSWORKER - Công cụ tấn công EDR trong chiến dịch Medusa

Ngoài ra, ABYSSWORKER là một trình điều khiển độc hại được sử dụng trong các chiến dịch tấn công tài chính, đặc biệt liên quan đến ransomware MEDUSA. Trình điều khiển này được ký bằng chứng chỉ đã bị thu hồi từ các nhà cung cấp Trung Quốc và giả mạo dưới dạng trình điều khiển hợp pháp của CrowdStrike Falcon (smuol.sys).

1742797128968.png


Ghi chú về tiền chuộc của Medusa ransomware (Nguồn: Unit 42)
Khi được cài đặt trên máy nạn nhân, ABYSSWORKER thực hiện các hành động nhằm vô hiệu hóa các hệ thống EDR, bao gồm:
  • Bảo vệ các tiến trình bằng cách tước quyền truy cập từ các tiến trình khác và từ chối truy cập trong tương lai thông qua ObRegisterCallbacks.
  • Xóa dấu vết bằng cách loại bỏ các callback thông báo (như PsSetCreateProcessNotifyRoutine) và gỡ bỏ các trình điều khiển mini-filter như FltMgr.sys.
  • Thay thế các chức năng chính của trình điều khiển khác bằng IopInvalidDeviceRequest.
ABYSSWORKER cũng chấp nhận các lệnh IOCTL với mật khẩu được mã hóa cứng để kích hoạt các chức năng như tải API kernel, sao chép/xóa tệp, kết thúc tiến trình hoặc luồng theo PID/TID, thay thế hoặc tách các thành phần trình điều khiển/thiết bị, vô hiệu hóa các luồng hệ thống liên quan đến một mô-đun và khởi động lại hệ thống từ chế độ kernel.

1742797207076.png


Mô tả tiêu đề PE của trình điều khiển ABYSSWORKER (Nguồn: Elastic Security Labs)

ABYSSWORKER đã được phát hiện trước đó trong một chiến dịch độc lập. Tuy nhiên, các phân tích chuyên sâu sau đó đã làm rõ hơn cách thức sử dụng Relative Virtual Addresses (RVAs) và các mẫu mã để nghiên cứu mã độc này.

Nguy cơ từ phần mềm độc hại phát tán qua nền tảng lậu

Bên cạnh ransomware Medusa, Microsoft cũng cảnh báo về làn sóng tấn công nhằm vào người dùng Windows thông qua các trang xem phim lậu. Khi truy cập các trang này, thiết bị có thể bị điều hướng đến tải xuống mã độc, được tội phạm mạng lưu trữ trên GitHub nhằm qua mặt các hệ thống bảo mật.

Để giảm thiểu rủi ro trước các mối đe dọa này, chuyên gia WhiteHat đưa ra một số khuyến cáo sau:
  • Chặn các chứng chỉ đã biết được sử dụng bởi ABYSSWORKER.
  • Giám sát việc cài đặt trình điều khiển đáng ngờ (ví dụ: \device\czx9umpTReqbOOKF).
  • Tăng cường bảo vệ các công cụ EDR chống lại việc ghi đè chức năng trình điều khiển và xóa callback.
  • Cẩn trọng khi truy cập các trang web không đáng tin cậy và tránh tải xuống phần mềm từ nguồn không chính thống.
Các cuộc tấn công sử dụng Medusa ransomware và ABYSSWORKER phản ánh xu hướng ngày càng nguy hiểm trong chiến lược của tội phạm mạng, đặc biệt là việc tận dụng quyền truy cập ở cấp kernel để qua mặt các biện pháp phòng thủ truyền thống. Việc nâng cao cảnh giác và triển khai các biện pháp bảo mật là điều cấp thiết đối với cả tổ chức và người dùng cá nhân.

Theo Security Online, Báo Thanh niên, WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
mã độc mã độc abyssworker ransomware medusa
Bên trên