GodDamn 勒索软件利用 PoisonX 驱动禁用终端防御

GodDamn 勒索软件利用 PoisonX 驱动禁用终端防御

导语:网络安全研究人员发现一种名为 GodDamn 的新勒索软件家族,其利用 PoisonX 内核驱动实施 BYOVD 攻击以瘫痪端点防御,被认为是 Beast 勒索软件的更名重制版,背后开发者被追踪为 Hyadina。

GodDamn 勒索软件利用 PoisonX 驱动禁用终端防御

网络安全研究人员发现一种名为 GodDamn 的新勒索软件家族,它使用 PoisonX 内核驱动来瘫痪安全软件,作为其防御规避策略的一部分。

根据 Symantec 旗下威胁猎人团队(Threat Hunter Team)发布的一份新报告,该勒索软件于 2026 年 5 月 21 日首次在野外被公开发现。报告评估认为它是 Beast 勒索软件的更名重制版(rebrand),而 Beast 本身又是 Monster 的增强版本——Monster 是一款基于 Delphi 的勒索软件,出现于 2022 年 3 月。Broadcom 的网络安全部门将这些勒索软件家族的开发者追踪代号为 Hyadina。

在 2026 年 6 月初由该勒索软件团伙组织的一次攻击中,威胁行为者被指利用 AnyDesk 进行远程访问,并使用了一款基于 NirSoft 的凭据收割工具,随后才部署勒索软件。确切的初始访问向量尚不明确。该凭据收割工具被设计用于从常见 Web 浏览器、Windows 凭据管理器、缓存的域凭据、VNC 会话、邮件客户端、Wi-Fi 配置文件以及实时网络流量中提取敏感数据。

此次攻击中还使用了一个伪装成 Symantec 产品的用户态防御规避工具("symantec.exe")以及 PoisonX 内核驱动("g11.sys"),以所谓的"自带易受攻击驱动"(BYOVD, bring your own vulnerable Driver)攻击方式来禁用终端防御。

原文配图

Symantec 威胁猎人团队在与 The Hacker News 分享的报告中指出:"然而,PoisonX 驱动看起来略为不同寻常,因为它似乎是一个恶意驱动,其开发者成功获得了 Microsoft 的签名,目前正被勒索软件攻击者使用。" 值得一提的是,PoisonX 是 The Gentlemen 勒索软件即服务(RaaS)计划所采用的八款驱动之一,被集成到该团伙分发给附属机构的自定义工具 GentleKiller 中,用于在执行加密器之前削弱系统防御。

Broadcom 上月指出:"易受攻击的驱动是攻击者最可靠的入侵途径。攻击者在获得管理员权限后,可以将一个存在缺陷但具有有效签名的驱动投放到目标机器上。由于该驱动已签名,Windows 会自动加载它。" Broadcom 还补充道:"最常见的操作是终止属于杀毒软件(AV)或终端检测与响应(EDR)产品的进程,剥夺机器的防御能力。某些变体更为隐蔽——攻击者可能剥夺安全代理正常运行所需的权限,让其保持运行但无法采取行动。还有一些则直接篡改内核内部记录,使安全产品无法再接收关于机器上发生事件的通知,从而使其形同失明。"

此次攻击的另一个特征是使用 PsExec 来促进横向移动,随后在每一台可达主机上安装 AnyDesk 并将其注册为自动启动的 Windows 服务以维持重启后的持久化。在某些机器上,整个 AnyDesk 的安装过程由预先暂存在系统盘上的 PowerShell 脚本处理,这表明攻击者使用了可重复使用的安装程序来简化流程。

Symantec 表示:"在完成每台主机的 AnyDesk 安装后,攻击者终止正在运行的 AnyDesk 进程,稍作等待,然后重启机器。到 6 月 2 日结束时,这一部署序列已在目标组织内至少 10 台主机上重复执行。" 该网络安全公司称,GodDamn 勒索软件于 6 月 3 日首次在与不同组织单元关联的独立网段上被检测到,导致文件被以受害者名称作为扩展名进行重命名,而不是在其他由 Hyadina 发起的攻击中使用的 ".God8Damn" 扩展名。

根据 CYFIRMA 发布的报告,在入侵结束时投放的勒索赎金通知(ransom note)催促受害者通过电子邮件或 qTox 加密即时通讯应用与其联系。Symantec 总结道:"GodDamn 使用相对新近发现的 PoisonX 恶意驱动组件,标志着该团伙在防御规避能力方面的一次升级,表明 Hyadina 正在持续积极地开发其勒索软件及其能力。"


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/goddamn-ransomware-uses-poisonx-driver.html

作者:info@thehackernews.com (The Hacker News)