GodDamn Ransomware: Kẻ tấn công sử dụng driver PoisonX để vô hiệu hóa phần mềm bảo mật
Nhóm tin tặc Hyadina đang sử dụng biến thể ransomware mới mang tên GodDamn, kết hợp cùng driver PoisonX đã được ký số để vô hiệu hóa các giải pháp bảo mật endpoint thông qua kỹ thuật...
Các chuyên gia an ninh mạng vừa phát hiện một dòng ransomware mới có tên gọi GodDamn. Điểm đáng chú ý của mã độc này là việc sử dụng driver nhân (kernel driver) có tên PoisonX để vô hiệu hóa các phần mềm bảo mật, nhằm thực hiện chiến lược né tránh phòng thủ (defense evasion).
Theo báo cáo từ đội ngũ Threat Hunter của Symantec, GodDamn được ghi nhận xuất hiện lần đầu vào ngày 21/05/2026. Đây được cho là phiên bản tái cấu trúc của ransomware Beast, vốn là biến thể nâng cấp từ Monster – một loại ransomware dựa trên Delphi xuất hiện từ tháng 03/2022. Nhóm phát triển đứng sau các dòng mã độc này được định danh là Hyadina.
Phương thức tấn công tinh vi
Trong một chiến dịch tấn công vào đầu tháng 06/2026, nhóm tin tặc đã sử dụng AnyDesk để truy cập từ xa và triển khai bộ công cụ thu thập thông tin xác thực (credential harvesting) trước khi thực thi ransomware. Mặc dù chưa xác định được vector tấn công ban đầu, nhưng bộ công cụ này có khả năng đánh cắp dữ liệu nhạy cảm từ trình duyệt web, Windows Credential Manager, các phiên làm việc VNC, email và cấu hình Wi-Fi.
Đặc biệt, kẻ tấn công sử dụng một công cụ né tránh phòng thủ ở chế độ user-mode được ngụy trang dưới tên “symantec.exe”, kết hợp với driver PoisonX (“g11.sys”). Đây là kỹ thuật BYOVD (Bring Your Own Vulnerable Driver), nơi kẻ tấn công lợi dụng các driver hợp lệ nhưng có lỗ hổng để thực thi mã độc ở cấp độ kernel.
Sự nguy hiểm của PoisonX
Điều khiến PoisonX trở nên đáng ngại là đây dường như là một driver độc hại đã vượt qua được quy trình ký số của Microsoft. Việc sở hữu chữ ký hợp lệ giúp Windows tự động tải driver này vào hệ thống mà không gặp rào cản. PoisonX cũng từng được ghi nhận xuất hiện trong bộ công cụ GentleKiller của nhóm ransomware-as-a-service (RaaS) có tên The Gentlemen.
Khi đã có quyền quản trị, kẻ tấn công sử dụng driver này để:
- Tắt các tiến trình của phần mềm diệt virus (AV) hoặc giải pháp EDR.
- Tước bỏ quyền hạn của các tác nhân bảo mật, khiến chúng vẫn chạy nhưng không thể thực hiện chức năng bảo vệ.
- Can thiệp trực tiếp vào các bản ghi nội bộ của kernel để chặn thông báo gửi đến các sản phẩm bảo mật, khiến hệ thống trở nên “mù” trước các hành vi độc hại.
Di chuyển ngang và mã hóa
Sau khi chiếm quyền kiểm soát, nhóm Hyadina sử dụng PsExec để di chuyển ngang (lateral movement) trong mạng nội bộ, đồng thời thiết lập AnyDesk như một dịch vụ tự khởi động (auto-start service) để duy trì sự hiện diện sau khi khởi động lại máy. Tại một số mục tiêu, quy trình này được tự động hóa hoàn toàn bằng các script PowerShell.
Các chuyên gia nhận định rằng việc sử dụng driver PoisonX cho thấy năng lực của nhóm Hyadina đang ngày càng được nâng cao. Các tổ chức được khuyến cáo cần giám sát chặt chẽ các driver được tải vào hệ thống và áp dụng chính sách kiểm soát chặt chẽ đối với các công cụ truy cập từ xa để phòng tránh các cuộc tấn công tương tự.
Nguồn tham khảo: The Hacker News



No Comment! Be the first one.