Les acteurs de la menace derrière l’opération Ransomware-as-a-Service (RAAS) de Medusa ont été observés à l’aide d’un conducteur malveillant doublé Travailleur de l’abyssier Dans le cadre d’une attaque Bring Your Own Vulnerable Driver (BYOVD) conçue pour désactiver les outils anti-malware.
Elastic Security Labs a déclaré avoir observé une attaque de ransomware Méduse qui a livré le cryptor au moyen d’un chargeur emballé à l’aide d’un packer en tant que service (PaaS) appelé HeartCrypt.
“Ce chargeur a été déployé aux côtés d’un conducteur signé de certificat révoqué d’un fournisseur chinois que nous avons nommé Abyssworker, qu’il installe sur la machine victime, puis utilise pour cibler et faire taire différents fournisseurs EDR”, la société dit dans un rapport.
Le conducteur en question, “Smuol.sys”, imite un pilote de Falcon Crowdsstrike légitime (“CSAgent.Sys”). Des dizaines d’artefacts Abyssworker ont été détectés sur la plate-forme Virustotal datant du 8 août 2024 au 25 février 2025. Tous les échantillons identifiés sont signés en utilisant des certificats susceptibles de voler probablement des entreprises chinoises.
Le fait que le malware est également signé lui donne un placage de confiance et lui permet de contourner les systèmes de sécurité sans attirer aucune attention. Il convient de noter que le conducteur de la détection et de la réponse (EDR) était précédemment documenté par Connectwise en janvier 2025 sous le nom de “NBWDV.SYS”.
Une fois initialisé et lancé, AbySworker est conçu pour ajouter l’ID de processus à une liste de processus globaux protégés et écouter les demandes de contrôle des E / S de l’appareil entrant, qui sont ensuite envoyées à des gestionnaires appropriés en fonction du code de contrôle d’E / S.
“Ces gestionnaires couvrent un large éventail d’opérations, de la manipulation de fichiers au processus et à la fin du conducteur, fournissant un ensemble d’outils complet qui peut être utilisé pour résilier ou désactiver définitivement les systèmes EDR”, a déclaré Elastic.
La liste de certains des codes de contrôle d’E / S est ci-dessous –
- 0x222080 – Activez le pilote en envoyant un mot de passe “7n6bcaoecbitsur5-h4rp2nkqxybfkb0f-wgbjghgh20pwuun1-zxfxdioyps6htp0x”
- 0x2220C0 – Chargez les API du noyau nécessaire
- 0x222184 – Copier le fichier
- 0x222180 – Supprimer le fichier
- 0x222408 – Kill System Threads par nom de module
- 0x222400 – supprimer les rappels de notification par nom de module
- 0x2220C0 – API de chargement
- 0x222144 – terminer le processus par leur identifiant de processus
- 0x222140 – terminer le thread par leur identifiant de thread
- 0x222084 – Désactiver les logiciels malveillants
- 0x222664 – Redémarrez la machine
Le 0x222400 est particulièrement intéressant, qui peut être utilisé pour aveugler les produits de sécurité en recherchant et en supprimant tous les rappels de notification enregistrés, une approche également adoptée par d’autres outils de tueurs EDR comme Edsandblast et RealBlindingedr.
Les résultats suivent un rapport de Venak Security sur la façon dont les acteurs de la menace exploitent un conducteur de noyau légitime mais vulnérable associé au logiciel antivirus ZonEalarm de Check Point dans le cadre d’une attaque BYOVD conçue pour gagner des privilèges élevés et désactiver les fonctionnalités de sécurité Windows comme l’intégrité de la mémoire.
L’accès privilégié a ensuite été abusé des acteurs de la menace pour établir une connexion RETOCKTOP Protocol (RDP) aux systèmes infectés, facilitant l’accès persistant. La faille a depuis été branchée par point de contrôle.
“Comme vsdatant.sys fonctionne avec des privilèges de noyau de haut niveau, les attaquants ont pu exploiter ses vulnérabilités, contourner les protections de sécurité et les logiciels antivirus et prendre le contrôle total des machines infectées”, la société dit.
“Une fois que ces défenses ont été contournées, les attaquants ont eu un accès complet au système sous-jacent, les attaquants ont pu accéder à des informations sensibles telles que les mots de passe utilisateur et d’autres informations d’identification stockées. Ces données ont ensuite été exfiltrées, ouvrant la porte pour une nouvelle exploitation.”
Le développement intervient alors que le fonctionnement du ransomware RansomHub (AKA Greenbottle et Cyclops) a été attribué à l’utilisation d’un code de porte de porte dérobée multi-fonction précédemment sans papiers par au moins l’un de ses affiliés.
L’implant est livré avec des fonctionnalités généralement associées aux logiciels malveillants déployés comme précurseur en ransomware, tels que la capture d’écran, le keylogging, la numérisation réseau, l’escalade de privilège, le vidage des informations d’identification et l’exfiltration de données à un serveur distant.
“Les fonctionnalités du tradugeur indiquent qu’elle peut avoir été développée afin de minimiser le nombre de nouveaux outils abandonnés sur un réseau ciblé pendant qu’une attaque de ransomware est en cours de préparation”, Symantec, appartenant à Broadcom ditle décrivant comme quelque chose d’un écart parmi d’autres outils personnalisés développés par des groupes de ransomwares pour l’exfiltration de données.
“L’utilisation de logiciels malveillants personnalisés autres que le chiffrement des charges utiles est relativement inhabituelle dans les attaques de ransomwares. La plupart des attaquants comptent sur des outils légitimes, vivant de la terre et des logiciels malveillants accessibles au public tels que Mimikatz et Cobalt Strike.”