СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
12.12.2025
#ИБ

Akira: Armillaria Loader и EDR killer — нарушение мер безопасности

Группа Akira ransomware усилила свои тактические приёмы, интегрировав в атаки новый загрузчик и специализированные средства для нейтрализации средств защиты конечных точек. В недавнем анализе исследователи описывают использование Armillaria Loader и отдельно разработанного EDR killer, а также приводят детали по последним образцам и компонентам, позволяющим обходить и выводить из строя защитные механизмы.

Краткое резюме находок

  • Обнаружены последние образцы Armillaria Loader, в том числе вариант с меткой version.dll, выявленный в конце ноября.
  • Загрузчик внедряет полезную нагрузку и вызывает её выполнение через процесс rundll32.exe.
  • Динамический анализ выявил наличие новых заголовков Windows PE и англ. термин magic bytes, что позволило извлечь второй этап для дальнейшего изучения.
  • Второй этап поставляется как файл .owned2.dll и содержит функции, направленные на завершение работы продуктов endpoint security — то есть реализует поведение EDR killer.
  • Для отключения защитных механизмов используются два встроенных драйвера: rwdrv.sys и неподписанный hlpdrv.sys.
  • Отдельно отмечено влияние известной уязвимости в драйвере ThrottleStop производителя TechPowerUp, связанной с компонентом rwdrv.sys.
  • Решения вроде ThreatLocker Detect EDR способны обнаруживать попытки установки вредоносных инструментов и отключения протоколов безопасности, а также поддерживают контроль приложений и политику разрешений.

Технический разбор

Armillaria Loader: загрузчик действует как метод доставки — он встраивает полезную нагрузку в процесс и инициирует её выполнение через rundll32.exe. В последних образцах, включая файл с именем version.dll, динамический анализ показал появление новых Windows PE заголовков и magic bytes, что позволяет аналитикам извлечь «второй этап» для статического и дальнейшего динамического исследования.

Второй этап — .owned2.dll: извлечённый модуль, распределённый под именем .owned2.dll, не совпадает ни с одним из известных образцов и явно ориентирован на подавление средств endpoint security. Его поведение классифицируется как EDR killer, поскольку он нацелен на завершение процессов и служб, отвечающих за защиту.

Драйверы и эксплуатация уязвимостей: атака включает два встроенных драйвера — rwdrv.sys и неподписанный hlpdrv.sys. Первый из них связан с известной уязвимостью в драйвере ThrottleStop от TechPowerUp, что предоставляет злоумышленникам дополнительные возможности для эскалации привилегий и обхода защиты; второй — используется для прямого вмешательства в работу системных процессов и служб безопасности.

Поведение и тактики злоумышленников

  • Встраивание полезной нагрузки в доверенные процессы (rundll32.exe) для уменьшения подозрительности.
  • Использование механики загрузчика для доставки многоступенчатой цепочки — извлекаемая второй этап предоставляет расширенные возможности по нейтрализации средств защиты.
  • Применение драйверов, включая неподписанные и эксплуатирующие уязвимости, для обхода контроля ядра и остановки продуктов безопасности.

Инструменты обнаружения и меры защиты

ThreatLocker Detect EDR упомянут в анализе как решение, способное выявлять поведение, характерное для операторов ransomware: установку вредоносных инструментов и попытки отключения протоколов безопасности. Ключевые возможности системы включают:

  • контроль приложений (Application Control) — поддержка белых списков для предотвращения запуска несанкционированных средств удалённого мониторинга и управления;
  • ограничение запуска приложений высокого риска;
  • конфигурируемые политики разрешений, в том числе механизмы кольцевой защиты для регулирования взаимодействия бизнес-приложений с системными ресурсами и снижения поверхности атаки.

Практические рекомендации

  • Проверить наличие и целостность критических системных процессов (rundll32.exe и др.).
  • Анализировать подозрительные PE-заголовки и сигнатуры magic bytes при динамическом запуске новых библиотек.
  • Блокировать или строго контролировать запуск неподписанных драйверов и мониторить использование известных уязвимых компонентов (например, ThrottleStop).
  • Применять Application Control и политики разрешений (включая кольцевую защиту) для ограничений взаимодействия приложений с критичными ресурсами.
  • Использовать решения классов EDR/XDR и инструментов контроля приложений (например, ThreatLocker Detect EDR) для раннего обнаружения и реагирования на попытки установки и активации вредоносных компонентов.

Заключение

Атаки Akira демонстрируют эволюцию тактик злоумышленников: комбинация продвинутого loader, многоступенчатой доставки и специализированного EDR killer делает их опасными для организаций с недостаточно строгой политикой контроля приложений и слабой защитой на уровне ядра. Комплексный подход — мониторинг целостности процессов, контроль запуска приложений, управление драйверами и внедрение современных EDR-решений — остаётся ключевым для снижения риска успешной компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: