Trong bối cảnh các cuộc tấn công mạng nhiều giai đoạn ngày càng phức tạp, các tác nhân đe dọa đang ưu tiên vô hiệu hóa hệ thống phát hiện và phản hồi điểm cuối (EDR) để duy trì khả năng tàng hình. Sự phát triển của các mối đe dọa mạng từ năm 2022 đã chứng kiến sự gia tăng đáng kể về độ tinh vi của mã độc, với các công cụ được thiết kế chuyên biệt để tắt EDR trên các điểm cuối bị xâm nhập.

Sự Tinh Vi Của Mã Độc Và Mục Tiêu EDR

Những tiện ích này, thường được phát triển bởi các nhóm ransomware hoặc được mua từ các thị trường ngầm, tận dụng các giải pháp packer-as-a-service như HeartCrypt để che giấu mã độc. Một ví dụ nổi bật là công cụ AVKiller, được nhúng trong các mẫu mã độc đóng gói bằng HeartCrypt, đã được quan sát thấy trong các chiến dịch ransomware đang hoạt động.

Công Cụ AVKiller và Cơ Chế Hoạt Động

Payload của AVKiller, được phát hiện giữa hàng nghìn mẫu vật tương tự, thể hiện các lớp bảo vệ dày đặc. Nó nhắm mục tiêu vào một danh sách biến đổi các nhà cung cấp bảo mật và dựa vào các driver độc hại được ký bằng chứng chỉ bị xâm phạm. Một biến thể, uA8s.exe (SHA-1: 2bc75023f6a4c50b21eb54d1394a7b8417608728), tiêm mã độc vào các tiện ích hợp pháp như Clipboard Compare của Beyond Compare. Mã này tự giải mã khi thực thi để lộ một file thực thi quét các driver có tên ngẫu nhiên, ví dụ như mraml.sys (SHA-1: 21a9ca6028992828c9c360d752cb033603a2fd93).

Vấn Đề Chứng Chỉ Bị Lạm Dụng

Các driver này thường ngụy trang thành các thành phần hợp pháp, ví dụ như giả mạo CrowdStrike Falcon Sensor. Chúng được ký bởi các thực thể bị lạm dụng như Changsha Hengxiang Information Technology Co., Ltd., với các chứng chỉ đã bị thu hồi từ năm 2016. Các phiên bản mới hơn sử dụng chữ ký từ Fuzhou Dingxin Trade Co., Ltd., không hợp lệ từ năm 2012. Điều này nhấn mạnh việc khai thác hạ tầng ký kết hết hạn hoặc bị xâm phạm để bỏ qua các biện pháp bảo vệ cấp kernel.

Các Kỹ Thuật Né Tránh Phát Hiện EDR

Chức năng của AVKiller rất đa diện: nó chấm dứt các tiến trình và dịch vụ từ nhiều nhà cung cấp, bao gồm Bitdefender, Cylance, F-Secure, Fortinet, HitmanPro, Kaspersky, McAfee, Microsoft, SentinelOne, Sophos, Symantec, Trend Micro và Webroot. Danh sách mục tiêu thay đổi tùy theo mẫu, đôi khi chỉ tập trung vào một hoặc hai nhà cung cấp, đôi khi bao gồm một mảng rộng hơn, cho thấy khả năng thích ứng với các môi trường cụ thể. Đây là một thách thức lớn trong việc phát hiện xâm nhập.

Mục Tiêu Đa Dạng và Khả Năng Thích Ứng

Nếu driver cần thiết không có mặt, công cụ sẽ dừng lại với lỗi “Failed to get device” nhưng vẫn tạo một dịch vụ liên kết với tên driver, đảm bảo khả năng tồn tại. Các bản ghi nhớ bộ nhớ xác nhận mục đích của nó, tiết lộ các chuỗi nhắm mục tiêu vào các tiến trình như MsMpEng.exe, SophosHealth.exe, SAVService.exe và sophosui.exe. Sự thay đổi trong cách tiếp cận này là một dấu hiệu của sự tiến hóa trong các mối đe dọa mạng.

Tồn Tại Và Né Tránh Phát Hiện

Việc phát hiện thường xảy ra thông qua các quy tắc tĩnh như Mal/HCrypt- hoặc Troj/HCrypt-, hoặc các biện pháp giảm thiểu động như SysCall, DynamicShellcode hoặc HollowProcess. Điều này nhấn mạnh sự phụ thuộc của công cụ vào việc né tránh thông qua việc che giấu mã độc (obfuscation) và tiêm mã (code injection). Các kỹ thuật này làm tăng tính phức tạp cho việc phòng thủ trước các mối đe dọa mạng.

AVKiller Trong Chiến Dịch Ransomware

Việc triển khai AVKiller được gắn chặt với các hoạt động mã độc ransomware, xuất hiện trong các cuộc tấn công của các họ như Blacksuit, RansomHub, Medusa, Qilin, Dragonforce, Crytox, Lynx và INC. Điều này cho thấy khả năng chia sẻ công cụ giữa các nhóm, làm gia tăng đáng kể nguy cơ của các công cụ né tránh EDR trong các cuộc tấn công phối hợp.

Các Nhóm Ransomware Sử Dụng AVKiller

Các nhóm tội phạm mạng đang liên tục cải tiến chiến thuật của mình. Sự xuất hiện của AVKiller trong nhiều chiến dịch ransomware khác nhau khẳng định mức độ nguy hiểm của công cụ này và sự hợp tác tiềm tàng giữa các tác nhân đe dọa trong bối cảnh các mối đe dọa mạng.

Ví Dụ Điển Hình Về Các Cuộc Tấn Công

Sự Cố RansomHub

Trong một sự cố RansomHub điển hình, một dropper được đóng gói bằng HeartCrypt (ví dụ: vp4n.exe, SHA256: c793304fabb09bb631610f17097b2420ee0209bab87bb2e6811d24b252a1b05d) triển khai AVKiller, sau đó công cụ này tải một driver như zsogd.sys. Sau đó là thực thi ransomware (ví dụ: FoPefI.exe, SHA256: e1ed281c521ad72484c7e5e74e50572b48ea945543c6bcbd480f698c2812cdfe) thêm các phần mở rộng như .0416f0 và thả các ghi chú tống tiền như README_0416f0.txt. Đây là một ví dụ điển hình về chiến thuật của các cuộc tấn công mạng ransomware.

Trường Hợp MedusaLocker

Một trường hợp MedusaLocker nổi bật với quyền truy cập ban đầu thông qua một lỗ hổng zero-day remote code execution (RCE) trong SimpleHelp. Lỗ hổng này kích hoạt cảnh báo DynamicShellcode trên 6Vwq.exe (SHA256: 43cd3f8675e25816619f77b047ea5205b6491137c5b77cce058533a07bdc9f98), giải nén thành một payload (SHA256: a44aa98dd837010265e4af1782b57989de07949f0c704a6325f75af956cc85de) nhắm mục tiêu vào sáu nhà cung cấp, tiếp theo là mã độc ransomware Medusa (SHA256: 3a6d5694eec724726efa3327a50fad3efdc623c08d647b51e51cd578bddda3da). Các mối đe dọa mạng như vậy đòi hỏi sự cảnh giác cao độ.

Chiến Dịch INC Ransomware

Một cuộc tấn công INC ransomware vào tháng 6 năm 2025 đã thể hiện việc đóng gói nhiều lớp, kết hợp một packer kiểu Impersonators được cập nhật với HeartCrypt trên CSd2.exe (SHA256: ce1ba2a584c7940e499194972e1bd6f829ffbae2ecf2148cdb03ceeca906d151). Nó trích xuất các payload (ví dụ: SHA256: 61557a55ad40b8c40f363c4760033ef3f4178bf92ce0db657003e718dffd25bd) và nhúng AVKiller (SHA256: 597d4011deb4f08540e10d1419b5cbdfb38506ed53a5c0ccfb12f96c74f4a7a1), công cụ này tải noedt.sys (SHA256: 6fc26e8ac9c44a8e461a18b20929f345f8cfc86e9a454eae3509084cf). Các biện pháp giảm thiểu của CryptoGuard đã gắn cờ việc mã hóa tiếp theo, với các ghi chú tống tiền như README.txt. Việc sử dụng chéo các công cụ này giữa các họ ransomware chỉ ra sự chuyển giao kiến thức giữa các tác nhân mã độc ransomware, làm tăng thêm mối đe dọa từ các công cụ né tránh EDR trong các cuộc tấn công phối hợp.

IOCs Quan Trọng

Dưới đây là các chỉ số thỏa hiệp (IOCs) quan trọng liên quan đến các chiến dịch sử dụng AVKiller:

• SHA-1 của mẫu AVKiller:2bc75023f6a4c50b21eb54d1394a7b8417608728 (uA8s.exe)
• SHA-1 của driver độc hại:21a9ca6028992828c9c360d752cb033603a2fd93 (mraml.sys)
• Các tiến trình EDR mục tiêu phổ biến trong bộ nhớ:
  • MsMpEng.exe
  • SophosHealth.exe
  • SAVService.exe
  • sophosui.exe
• SHA256 của Dropper RansomHub:c793304fabb09bb631610f17097b2420ee0209bab87bb2e6811d24b252a1b05d (vp4n.exe)
• SHA256 của Ransomware RansomHub:e1ed281c521ad72484c7e5e74e50572b48ea945543c6bcbd480f698c2812cdfe (FoPefI.exe)
• Phần mở rộng file Ransomhub:.0416f0
• Ghi chú tống tiền Ransomhub:README_0416f0.txt
• SHA256 của payload MedusaLocker:43cd3f8675e25816619f77b047ea5205b6491137c5b77cce058533a07bdc9f98 (6Vwq.exe)
• SHA256 của payload giải nén MedusaLocker:a44aa98dd837010265e4af1782b57989de07949f0c704a6325f75af956cc85de
• SHA256 của Ransomware Medusa:3a6d5694eec724726efa3327a50fad3efdc623c08d647b51e51cd578bddda3da
• SHA256 của Dropper INC Ransomware:ce1ba2a584c7940e499194972e1bd6f829ffbae2ecf2148cdb03ceeca906d151 (CSd2.exe)
• SHA256 của Payload trích xuất INC Ransomware:61557a55ad40b8c40f363c4760033ef3f4178bf92ce0db657003e718dffd25bd
• SHA256 của AVKiller trong INC Ransomware:597d4011deb4f08540e10d1419b5cbdfb38506ed53a5c0ccfb12f96c74f4a7a1
• SHA256 của driver INC Ransomware:6fc26e8ac9c44a8e461a18b20929f345f8cfc86e9a454eae3509084cf (noedt.sys)
• Ghi chú tống tiền INC Ransomware:README.txt

Các chỉ số này là bằng chứng rõ ràng về sự tồn tại và hoạt động của các mối đe dọa mạng nhằm vô hiệu hóa các hệ thống bảo mật chủ động. Việc giám sát liên tục và cập nhật các biện pháp phòng thủ là rất cần thiết để chống lại những chiến thuật ngày càng tinh vi này. Các tổ chức cần tăng cường khả năng phát hiện xâm nhập và triển khai các giải pháp bảo mật nhiều lớp để đối phó hiệu quả với các cuộc tấn công mạng.