Darüber hinaus umging die Gruppe eine EDR-Lösung mithilfe der BYOVD-Technik (Bring Your Own Vulnerable Driver). Konkret setzten sie einen anfälligen Baidu-Antivirus-Treiber (umbenannt in googleApiUtil64.sys) ein, der das Beenden beliebiger Prozesse erlaubt (CVE-2024-51324) und damit auch den Stopp des EDR-Agenten.
First seen on infopoint-security.de
Jump to article: www.infopoint-security.de/sophos-threat-hunter-analyse-neue-ransomware-gruppe-sorgt-fuer-aufsehen/a42049/
