25 février 2025Ravie LakshmananSécurité / vulnérabilité Windows

Une campagne de logiciels malveillants à grande échelle a été trouvé en tirant parti d’un pilote Windows vulnérable associé à la suite de produits d’Adlice pour contourner les efforts de détection et livrer le malware Gh0st Rat.

“Pour éviter davantage la détection, les attaquants ont délibérément généré plusieurs variantes (avec des hachages différents) du pilote 2.0.2 en modifiant des pièces PE spécifiques tout en gardant la signature valide” dit Dans un nouveau rapport publié lundi.

La société de cybersécurité a déclaré que l’activité malveillante impliquait des milliers d’échantillons malveillants en première scène qui sont utilisés pour déployer un programme capable de mettre fin à un logiciel de détection et de réponse (EDR) (EDR) au moyen de ce qu’on appelle une attaque de conducteur vulnérable (BYOVD).

Jusqu’à 2 500 variantes distinctes de la version 2.0.2 de Legacy du pilote vulnérable Roguekiller Antirootkit, Trugesight.Sys, ont été identifiées sur la plate-forme Virustotal, bien que le nombre soit probablement plus élevé. Le module EDR-Killer a été détecté et enregistré pour la première fois en juin 2024.

Cybersécurité

Le problème avec le conducteur Truesight, un bogue de terminaison de processus de processus arbitraire affectant toutes les versions inférieures à 3.4.0, a été précédemment armé pour concevoir des exploits de preuve de concept (POC) tels que Darkside et Truesightkiller qui sont accessibles au public depuis au moins novembre 2023.

En mars 2024, Sonicwall a révélé des détails d’un chargeur appelé DBATloader qui a été constaté qu’il avait utilisé le pilote Truesight.SYS ​​à tuer des solutions de sécurité avant de livrer les logiciels malveillants Remcos Rat.

Il existe des preuves suggérant que la campagne pourrait être le travail d’un acteur de menace appelé Silver Fox APT en raison de quelques Niveau de chevauche dans la chaîne d’exécution et les métiers utilisés, y compris le “Vector d’infection, la chaîne d’exécution, les similitudes dans les échantillons de stade initial […]et les modèles de ciblage historiques. “

Les séquences d’attaque impliquent la distribution d’artefacts de premier scène qui sont souvent déguisées en applications légitimes et se propagent via des sites Web trompeurs offrant des offres sur les produits de luxe et les canaux frauduleux dans des applications de messagerie populaires comme Telegram.

Les échantillons agissent en tant que téléchargeur, abandonnant la version héritée du pilote Truesight, ainsi que la charge utile à la prochaine étape qui imite les types de fichiers communs, tels que PNG, JPG et GIF. Le logiciel malveillant de deuxième étape procède ensuite à la récupération d’un autre malware qui, à son tour, charge le module EDR-Killer et le logiciel malveillant GH0ST RAT.

Variantes du pilote truesight.sys

“Bien que les variantes du pilote Trugesight Legacy (version 2.0.2) soient généralement téléchargées et installées par les échantillons à étage initial, ils peuvent également être déployés directement par le module EDR / AV Killer si le pilote n’est pas déjà présent sur le système , “Explice le point de chèque.

“Cela indique que bien que le module EDR / AV Killer est pleinement intégré à la campagne, il est capable de fonctionner indépendamment des étapes précédentes.”

Le module utilise la technique BYOVD pour abuser du conducteur sensible dans le but de mettre fin aux processus liés à certains logiciels de sécurité. Ce faisant, l’attaque offre un avantage en ce qu’elle contourne le Liste de blocs de pilote vulnérable Microsoftun mécanisme Windows basé sur la valeur de hachage conçu pour protéger le système contre les conducteurs vulnérables connus.

Cybersécurité

Les attaques ont culminé avec le déploiement d’une variante de GH0st Rat appelé HiddenGH0st, qui est conçue pour contrôler à distance les systèmes compromis, offrant aux attaquants un moyen de mener le vol de données, la surveillance et la manipulation du système.

Au 17 décembre 2024, Microsoft a mis à jour la liste de blocs de pilote pour inclure le pilote en question, bloquant efficacement le vecteur d’exploitation.

“En modifiant des parties spécifiques du conducteur tout en préservant sa signature numérique, les attaquants ont contourné les méthodes de détection courantes, y compris la dernière liste de blocs de conducteur vulnérable Microsoft et les mécanismes de détection de Loldrivers, leur permettant d’échapper à la détection pendant des mois”, a déclaré Check Point.

“L’exploitation de la vulnérabilité de terminaison de processus arbitraire a permis au module EDR / AV Killer pour cibler et désactiver les processus généralement associés aux solutions de sécurité, améliorant davantage la furtivité de la campagne.”

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57