Büyük ölçekli bir kötü amaçlı yazılım kampanyası, ADLICE’in ürün paketiyle ilişkili savunmasız bir Windows sürücüsünü kaldırarak GH0ST sıçan kötü amaçlı yazılımları sunmak için bulundu.
“Daha fazla tespitten kaçınmak için, saldırganlar imzayı geçerli tutarken belirli PE parçalarını değiştirerek 2.0.2 sürücüsünün kasıtlı olarak çoklu varyantlarını (farklı karmalarla) oluşturdu,” kontrol noktası söz konusu Pazartesi günü yayınlanan yeni bir raporda.
Siber güvenlik şirketi, kötü niyetli etkinliğin, kendi savunmasız sürücü (BYOVD) saldırınızı getirme olarak adlandırılan uç nokta algılama ve yanıt (EDR) yazılımını sonlandırabilen bir programı dağıtmak için kullanılan binlerce birinci aşama kötü amaçlı örnek içerdiğini söyledi.
Korunmasız RogueKiller Antirootkit sürücüsü Truesight.sys’in Legacy sürüm 2.0.2’nin 2.500 farklı varyantı Virustotal platformda tanımlanmıştır, ancak sayının daha yüksek olduğuna inanılmaktadır. EDR-Killer modülü ilk olarak Haziran 2024’te tespit edildi ve kaydedildi.
3.4.0’ın altındaki tüm sürümleri etkileyen keyfi bir süreç fesih hatası olan Truesight Driver ile ilgili sorun, daha önce kavram kanıtı (POC) istismarları tasarlamak için silahlandırılmıştır. Darkside Ve Truesighkiller en azından Kasım 2023’ten beri halka açık olanlar.
Mart 2024’te Sonicwall, Remcos Rat kötü amaçlı yazılımlarını teslim etmeden önce Truesight.sys sürücüsünü güvenlik çözümlerini öldürmek için kullandığı tespit edilen DBatloader adlı bir yükleyicinin ayrıntılarını açıkladı.
Kampanyanın, Silver Fox APT adlı bir tehdit oyuncunun işi olabileceğini öne süren bazı kanıtlar var. bazı “Enfeksiyon vektörü, yürütme zinciri, başlangıç aşaması örneklerindeki benzerlikler de dahil olmak üzere yürütme zincirindeki ve kullanılan tradecraft’ta çakışma seviyesi seviyesi […]ve tarihsel hedefleme kalıpları. “
Bu aynı zamanda kurbanların yaklaşık% 75’inin Çin’de bulunması, geri kalanının Asya’nın diğer bölgelerinde, başta Singapur ve Tayvan’da yoğunlaşmasıyla da güçlendirilmiştir.
Saldırı dizileri, genellikle meşru uygulamalar olarak gizlenen ve Telegram gibi popüler mesajlaşma uygulamalarında lüks ürünler ve hileli kanallar üzerinde anlaşmalar sunan aldatıcı web siteleri aracılığıyla yayılan birinci aşama eserlerin dağılımını içerir.
Örnekler, Truesight sürücüsünün eski sürümünü ve PNG, JPG ve GIF gibi ortak dosya türlerini taklit eden sonraki aşamalı yükü bırakan bir indirici olarak hareket eder. İkinci aşamalı kötü amaçlı yazılım, EDR-Katil Modülünü ve GH0ST RAT kötü amaçlı yazılımını yükleyen başka bir kötü amaçlı yazılım almaya devam eder.
“Legacy Truesight Driver’ın (sürüm 2.0.2) varyantları genellikle başlangıç aşaması örnekleri tarafından indirilir ve yüklenirken, sürücü sistemde zaten mevcut değilse doğrudan EDR/AV Killer modülü tarafından dağıtılabilir. , “Kontrol noktası açıklandı.
“Bu, EDR/AV Killer modülü kampanyaya tamamen entegre olmasına rağmen, önceki aşamalardan bağımsız olarak çalışabildiğini gösteriyor.”
Modül, belirli güvenlik yazılımlarıyla ilgili süreçleri sonlandırmak amacıyla duyarlı sürücüyü kötüye kullanmak için BYOVD tekniğini kullanır. Bunu yaparken, saldırı bir avantaj sunuyor. Microsoft savunmasız sürücü blok listesisistemi bilinen savunmasız sürücülere karşı korumak için tasarlanmış bir karma değer tabanlı pencere mekanizması.
Saldırılar, tehlikeye atılan sistemleri uzaktan kontrol etmek için tasarlanmış ve saldırganlara veri hırsızlığı, gözetim ve sistem manipülasyonu yapmanın bir yolunu veren Hiddengh0st adlı bir GH0ST sıçan çeşidinin konuşlandırılmasıyla sonuçlandı.
17 Aralık 2024 itibariyle Microsoft, sürücü blok listesini söz konusu sürücüyü içerecek şekilde güncelledi ve sömürü vektörünü etkili bir şekilde engelledi.
Check Point, “Dijital imzasını korurken sürücünün belirli bölümlerini değiştirerek, saldırganlar en son Microsoft savunmasız sürücü blok listesi ve Loldrivers algılama mekanizmaları da dahil olmak üzere ortak algılama yöntemlerini atladı ve aylarca algılamadan kaçınmalarına izin verdi.” Dedi.
“Keyfi süreç sonlandırma kırılganlığından yararlanmak, EDR/AV Killer modülünün güvenlik çözümleriyle ortak olarak ilişkili süreçleri hedeflemesine ve devre dışı bırakmasına ve kampanyanın gizliliğini daha da artırmasına izin verdi.”
