详细内容或原文请订阅后点击阅览
GodDamn 勒索软件使用 PoisonX 来蒙蔽安全软件
GodDamn 勒索软件使用签名的 PoisonX 驱动程序来禁用安全工具,标志着 Beast 勒索软件家族的更高级版本。赛门铁克的威胁猎手团队发现了一个名为 GodDamn 的新勒索软件家族,该家族于 2026 年 5 月 21 日首次出现,并分析了 6 月初发生的一次攻击。 [...] 背后的团队
来源:Security Affairs _恶意软件GodDamn 勒索软件使用 PoisonX 来蒙蔽安全软件
GodDamn 勒索软件使用签名的 PoisonX 驱动程序来禁用安全工具,标志着 Beast 勒索软件家族的更高级版本。
赛门铁克的威胁猎手团队发现了一个名为 GodDamn 的新勒索软件家族,该家族于 2026 年 5 月 21 日首次出现,并分析了 6 月初发生的一次攻击。赛门铁克追踪到的其背后的组织为 Hyadina,自 2022 年 3 月以来一直在运行勒索软件操作。GodDamn 是他们的第三个产品:首先是 Monster,然后是 2024 年 6 月的 Beast,现在又是这个。
血统不是猜测。赛门铁克研究人员注意到 GodDamn 和 Beast 之间存在显着的代码重叠,并且操作工具集(包括用于远程访问的 AnyDesk、基于 NirSoft 的凭据窃取程序以及对独联体国家中的目标的相同规避)在所有三个迭代中一致运行。
“对最近一次 GodDamn 勒索软件攻击的分析表明,这种看似新的勒索软件实际上是 Beast 勒索软件的最新品牌重塑,而 Beast 勒索软件本身就是 2022 年首次出现的 Monster 勒索软件的品牌重塑。”赛门铁克发布的报告中写道。 “赛门铁克威胁追踪团队追踪这些勒索软件系列背后的开发者为 Hyadina。”
GodDamn 的主要升级是使用 PoisonX,这是一个带有有效 Microsoft 签名的内核驱动程序。该签名很重要,因为 Windows 会自动加载签名的驱动程序,并且在内核级别运行的驱动程序可以终止安全软件进程,剥夺这些工具运行所需的权限,或者篡改内核的内部事件通知,以便安全产品停止接收有关计算机上发生的情况的警报。他们继续奔跑,但实际上他们是盲目的。
大多数自带漏洞驱动程序 (BYOVD) 攻击都会利用已存在的合法但有缺陷的驱动程序。 PoisonX 则不同。
工具集四年来没有太大变化。回避技巧都有。
