Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Gli EDR/AV vanno Offline con Killer Ultra! Il malware degli operatori ransomware di Qilin

Redazione RHC : 17 Luglio 2024 18:34

ARC Labs ha scoperto e analizzato un nuovo strumento utilizzato negli attacchi ransomware Qilin. Chiamato “Killer Ultra”, questo malware è progettato per disabilitare il popolare rilevamento e risposta alle minacce (EDR) e i software antivirus.

Gli esperti di ARC Labs hanno condotto analisi approfondite per comprendere la piena funzionalità di Killer Ultra e fornire informazioni tattiche sulle minacce alle organizzazioni. Durante l’analisi, è stato scoperto che Killer Ultra ottiene autorizzazioni a livello di kernel e prende di mira strumenti di sicurezza di marchi noti. Il programma cancella tutti i registri eventi di Windows e utilizza una versione vulnerabile del programma programma di sicurezza Zemana AntiLogger per terminare i processi in modo arbitrario.

I CVE-2024-1853 è una vulnerabilità in Zemana AntiLogger che consente agli aggressori di terminare i processi del software di sicurezza. Nel maggio 2023, un hacker conosciuto con lo pseudonimo di “SpyBoy” ha incluso questa vulnerabilità in uno strumento chiamato “Terminator” venduto sui forum di criminalità informatica.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    All’avvio Killer Ultra utilizza il processo di sistema “notepad.exe” per nascondere la propria attività. Il malware sostituisce il componente di sistema NTDLL con la versione di “notepad.exe”. Ciò aiuta a nascondere le sue azioni ai programmi di sicurezza che potrebbero monitorare il sistema.

    NTDLL (NT Layer DLL) è una libreria di sistema Windows che fornisce un’interfaccia tra i programmi applicativi e il kernel del sistema operativo. Contiene molte funzioni necessarie per eseguire varie attività a livello di sistema operativo, come la gestione di processi, memoria e I/O.

    Una volta inizializzato, Killer Ultra carica una copia non interessata di NTDLL ed estrae il driver Zemana sul disco locale. Viene quindi avviato il servizio “StopGuard” che disabilita i processi di sicurezza elencati nel programma. Killer Ultra prende di mira prodotti come Symantec Antivirus, Microsoft Windows Defender e SentinelOne.

    Per impedire che gli strumenti di sicurezza vengano eseguiti nuovamente dopo il riavvio del sistema, Killer Ultra crea due attività pianificate: “Microsoft Security” e “Microsoft Maintenance”, che avviano il programma all’avvio del sistema.

    Killer Ultra utilizza anche l’utilità “wevtutil.exe” per cancellare i registri eventi di Windows, rendendo difficile rilevare tracce di attività malware.

    L’analisi del codice Killer Ultra ha rivelato la presenza di funzioni inattive che potrebbero essere utilizzate per scopi post-exploitation. Il programma può caricare strumenti da fonti remote, eseguire processi utilizzando la funzione CreateProcessW e utilizzare anche funzioni di virtualizzazione e sandbox. Queste funzionalità non sono ancora attive, ma potrebbero essere utilizzate nelle versioni future di Killer Ultra.

    Il malware Killer Ultra rappresenta un serio problema di sicurezza. Le organizzazioni sono incoraggiate ad aggiornare le proprie strategie di rilevamento e risposta per combattere questa e minacce simili.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    QNAP rilascia patch di sicurezza per vulnerabilità critiche nei sistemi VioStor NVR
    Di Redazione RHC - 01/09/2025

    La società QNAP Systems ha provveduto al rilascio di aggiornamenti di sicurezza al fine di eliminare varie vulnerabilità presenti nel firmware QVR dei sistemi VioStor Network Video Recorder (NVR). I...

    Ma quale attacco Hacker! L’aereo di Ursula Von Der Leyen vittima di Electronic War (EW)
    Di Redazione RHC - 01/09/2025

    Un episodio inquietante di guerra elettronica (Electronic War, EW) ha coinvolto direttamente la presidente della Commissione europea, Ursula von der Leyen. Durante l’avvicinamento all’aeroporto di...

    Falla critica in Linux: scoperta vulnerabilità con CVSS 8.5 nel demone UDisks
    Di Redazione RHC - 01/09/2025

    Una falla critica nella sicurezza del demone Linux UDisks è stata rilevata recentemente, che consente a potenziali malintenzionati senza privilegi di accedere a file appartenenti ad utenti con privil...

    LilyGO T-Embed CC1101 e Bruce Firmware, la community rende possibile lo studio dei Rolling Code
    Di Diego Bentivoglio - 01/09/2025

    La ricerca sulla sicurezza delle radiofrequenze non si ferma mai. Negli ultimi anni abbiamo visto nascere strumenti sempre più accessibili che hanno portato il mondo dell’hacking RF anche fuori dai...

    Stangata da 167 milioni: WhatsApp vince la causa contro NSO e il suo spyware Pegasus
    Di Redazione RHC - 01/09/2025

    In un’importante novità legale è alle porte. Un tribunale statunitense ha ordinato al gruppo NSO, noto produttore di spyware, di pagare 167 milioni di dollari a WhatsApp. Questa sentenza è la con...