Les acteurs de la menace derri\u00e8re l’op\u00e9ration Ransomware-as-a-Service (RAAS) de Medusa ont \u00e9t\u00e9 observ\u00e9s \u00e0 l’aide d’un conducteur malveillant doubl\u00e9 Travailleur de l’abyssier <\/b>Dans le cadre d’une attaque Bring Your Own Vulnerable Driver (BYOVD) con\u00e7ue pour d\u00e9sactiver les outils anti-malware.<\/p>\n
Elastic Security Labs a d\u00e9clar\u00e9 avoir observ\u00e9 une attaque de ransomware M\u00e9duse qui a livr\u00e9 le cryptor au moyen d’un chargeur emball\u00e9 \u00e0 l’aide d’un packer en tant que service (PaaS) appel\u00e9 HeartCrypt.<\/p>\n
“Ce chargeur a \u00e9t\u00e9 d\u00e9ploy\u00e9 aux c\u00f4t\u00e9s d’un conducteur sign\u00e9 de certificat r\u00e9voqu\u00e9 d’un fournisseur chinois que nous avons nomm\u00e9 Abyssworker, qu’il installe sur la machine victime, puis utilise pour cibler et faire taire diff\u00e9rents fournisseurs EDR”, la soci\u00e9t\u00e9 dit<\/a> dans un rapport.<\/p>\n Le conducteur en question, “Smuol.sys”, imite un pilote de Falcon Crowdsstrike l\u00e9gitime (“CSAgent.Sys”). Des dizaines d’artefacts Abyssworker ont \u00e9t\u00e9 d\u00e9tect\u00e9s sur la plate-forme Virustotal datant du 8 ao\u00fbt 2024 au 25 f\u00e9vrier 2025. Tous les \u00e9chantillons identifi\u00e9s sont sign\u00e9s en utilisant des certificats susceptibles de voler probablement des entreprises chinoises.<\/p>\n Le fait que le malware est \u00e9galement sign\u00e9 lui donne un placage de confiance et lui permet de contourner les syst\u00e8mes de s\u00e9curit\u00e9 sans attirer aucune attention. Il convient de noter que le conducteur de la d\u00e9tection et de la r\u00e9ponse (EDR) \u00e9tait pr\u00e9c\u00e9demment document\u00e9<\/a> par Connectwise en janvier 2025 sous le nom de “NBWDV.SYS”.<\/p>\n Une fois initialis\u00e9 et lanc\u00e9, AbySworker est con\u00e7u pour ajouter l’ID de processus \u00e0 une liste de processus globaux prot\u00e9g\u00e9s et \u00e9couter les demandes de contr\u00f4le des E \/ S de l’appareil entrant, qui sont ensuite envoy\u00e9es \u00e0 des gestionnaires appropri\u00e9s en fonction du code de contr\u00f4le d’E \/ S.<\/p>\n “Ces gestionnaires couvrent un large \u00e9ventail d’op\u00e9rations, de la manipulation de fichiers au processus et \u00e0 la fin du conducteur, fournissant un ensemble d’outils complet qui peut \u00eatre utilis\u00e9 pour r\u00e9silier ou d\u00e9sactiver d\u00e9finitivement les syst\u00e8mes EDR”, a d\u00e9clar\u00e9 Elastic.<\/p>\n La liste de certains des codes de contr\u00f4le d’E \/ S est ci-dessous –<\/p>\n Le 0x222400 est particuli\u00e8rement int\u00e9ressant, qui peut \u00eatre utilis\u00e9 pour aveugler les produits de s\u00e9curit\u00e9 en recherchant et en supprimant tous les rappels de notification enregistr\u00e9s, une approche \u00e9galement adopt\u00e9e par d’autres outils de tueurs EDR comme Edsandblast<\/a> et RealBlindingedr<\/a>.<\/p>\n Les r\u00e9sultats suivent un rapport de Venak Security sur la fa\u00e7on dont les acteurs de la menace exploitent un conducteur de noyau l\u00e9gitime mais vuln\u00e9rable associ\u00e9 au logiciel antivirus ZonEalarm de Check Point dans le cadre d’une attaque BYOVD con\u00e7ue pour gagner des privil\u00e8ges \u00e9lev\u00e9s et d\u00e9sactiver les fonctionnalit\u00e9s de s\u00e9curit\u00e9 Windows comme l’int\u00e9grit\u00e9 de la m\u00e9moire.<\/p>\n L’acc\u00e8s privil\u00e9gi\u00e9 a ensuite \u00e9t\u00e9 abus\u00e9 des acteurs de la menace pour \u00e9tablir une connexion RETOCKTOP Protocol (RDP) aux syst\u00e8mes infect\u00e9s, facilitant l’acc\u00e8s persistant. La faille a depuis \u00e9t\u00e9 branch\u00e9e par point de contr\u00f4le.<\/p>\n “Comme vsdatant.sys fonctionne avec des privil\u00e8ges de noyau de haut niveau, les attaquants ont pu exploiter ses vuln\u00e9rabilit\u00e9s, contourner les protections de s\u00e9curit\u00e9 et les logiciels antivirus et prendre le contr\u00f4le total des machines infect\u00e9es”, la soci\u00e9t\u00e9 dit<\/a>.<\/p>\n “Une fois que ces d\u00e9fenses ont \u00e9t\u00e9 contourn\u00e9es, les attaquants ont eu un acc\u00e8s complet au syst\u00e8me sous-jacent, les attaquants ont pu acc\u00e9der \u00e0 des informations sensibles telles que les mots de passe utilisateur et d’autres informations d’identification stock\u00e9es. Ces donn\u00e9es ont ensuite \u00e9t\u00e9 exfiltr\u00e9es, ouvrant la porte pour une nouvelle exploitation.”<\/p>\n Le d\u00e9veloppement intervient alors que le fonctionnement du ransomware RansomHub (AKA Greenbottle et Cyclops) a \u00e9t\u00e9 attribu\u00e9 \u00e0 l’utilisation d’un code de porte de porte d\u00e9rob\u00e9e multi-fonction pr\u00e9c\u00e9demment sans papiers par au moins l’un de ses affili\u00e9s.<\/p>\n L’implant est livr\u00e9 avec des fonctionnalit\u00e9s g\u00e9n\u00e9ralement associ\u00e9es aux logiciels malveillants d\u00e9ploy\u00e9s comme pr\u00e9curseur en ransomware, tels que la capture d’\u00e9cran, le keylogging, la num\u00e9risation r\u00e9seau, l’escalade de privil\u00e8ge, le vidage des informations d’identification et l’exfiltration de donn\u00e9es \u00e0 un serveur distant.<\/p>\n “Les fonctionnalit\u00e9s du tradugeur indiquent qu’elle peut avoir \u00e9t\u00e9 d\u00e9velopp\u00e9e afin de minimiser le nombre de nouveaux outils abandonn\u00e9s sur un r\u00e9seau cibl\u00e9 pendant qu’une attaque de ransomware est en cours de pr\u00e9paration”, Symantec, appartenant \u00e0 Broadcom dit<\/a>le d\u00e9crivant comme quelque chose d’un \u00e9cart parmi d’autres outils personnalis\u00e9s d\u00e9velopp\u00e9s par des groupes de ransomwares pour l’exfiltration de donn\u00e9es.<\/p>\n “L’utilisation de logiciels malveillants personnalis\u00e9s autres que le chiffrement des charges utiles est relativement inhabituelle dans les attaques de ransomwares. La plupart des attaquants comptent sur des outils l\u00e9gitimes, vivant de la terre et des logiciels malveillants accessibles au public tels que Mimikatz et Cobalt Strike.”<\/p>\n <\/p>\n![\"Cybers\u00e9curit\u00e9\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2025\/03\/MEDUSA-Ransomware-utilise-un-conducteur-malveillant-pour-desactiver-lanti-malware-avec.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/div>\n<\/a><\/center><\/div>\n