Medusa Hizmet Olarak Fidye Yazılımı (RAAS) operasyonunun arkasındaki tehdit aktörleri, adlandırılan kötü amaçlı bir sürücü kullanılarak gözlendi Horca Kendi savunmasız sürücünüzü (BYOVD) saldırının bir parçası olarak, kötü amaçlı yazılım karşıtı araçları devre dışı bırakmak için tasarlanmıştır.
Elastik güvenlik laboratuvarları, HeartCrypt adı verilen bir Packer (PaaS) kullanılarak paketlenmiş bir yükleyici aracılığıyla şifreleyiciyi teslim eden bir Medusa fidye yazılımı saldırısı gözlemlediğini söyledi.
Şirket, “Bu yükleyici, kurban makinesine kurduğu ve daha sonra farklı EDR satıcılarını hedeflemek ve susturmak için kullandığı Abyssworker adını verdiğimiz bir Çinli satıcıdan iptal edilmiş sertifika imzalı bir sürücünün yanına yerleştirildi.” söz konusu bir raporda.
Söz konusu sürücü, “Smuol.sys”, meşru bir Crowdstrike Falcon sürücüsünü (“Csagent.sys”) taklit ediyor. 8 Ağustos 2024’ten 25 Şubat 2025’e kadar olan Virustotal platformunda düzinelerce abyssworker eseri tespit edilmiştir. Belirlenen tüm örnekler Çin şirketlerinden olası çalıntı, iptal edilmiş sertifikalar kullanılarak imzalanmıştır.
Kötü amaçlı yazılımın da imzalanması, ona bir güven kaplaması verir ve dikkat çekmeden güvenlik sistemlerini atlamasına izin verir. Uç nokta algılama ve yanıt (EDR) -Killing sürücüsünün daha önce belgelenmiş Ocak 2025’te “nbwdv.sys” adı altında ConnectWise tarafından.
Başlatıldıktan ve başlatıldıktan sonra, Abyssworker, işlem kimliğini küresel korumalı işlemlerin bir listesine eklemek ve daha sonra G/Ç kontrol koduna göre uygun işleyicilere gönderilen gelen cihaz G/Ç kontrol isteklerini dinlemek için tasarlanmıştır.
Elastik, “Bu işleyiciler, dosya manipülasyonundan işleme ve sürücünün sonlandırılmasına kadar çok çeşitli işlemleri kapsar ve EDR sistemlerini sonlandırmak veya kalıcı olarak devre dışı bırakmak için kullanılabilecek kapsamlı bir araç seti sağlar.” Dedi.
Bazı G/Ç kontrol kodlarının listesi aşağıdadır –
- 0x222080-“7n6bcaoecbitsur5-h4rp2nkqxybfkb0f-wgbjgh20pwuun1-zxfxdioyps6Htp0x” şifresi göndererek sürücüyü etkinleştirin “
- 0x2220c0 – Yük gerekli çekirdek API’leri
- 0x222184 – Kopyala dosyası
- 0x222180 – dosyayı sil
- 0x222408 – Modül adına göre sistem iş parçacıklarını öldür
- 0x222400 – Bildirim geri aramalarını modül adına göre kaldır
- 0x2220c0 – Yük API
- 0x222144 – Süreci süreç kimliklerine göre sonlandırın
- 0x222140 – Konu kimliğine göre iş parçacığını sonlandırın
- 0x222084 – Kötü amaçlı yazılımları devre dışı bırakın
- 0x222664 – Makineyi yeniden başlatın
Kayıtlı tüm bildirim geri çağrılarını arayarak ve kaldırarak güvenlik ürünlerini kör etmek için kullanılabilen 0x222400 özellikle ilgi çekicidir, bu da diğer EDR-Silling araçları tarafından da benimsenen bir yaklaşım Edrsandblast Ve RealBlindingedr.
Bulgular, Venak Security’den, tehdit aktörlerinin, yüksek ayrıcalıklar elde etmek ve bellek bütünlüğü gibi Windows güvenlik özelliklerini devre dışı bırakmak için tasarlanmış bir BYOVD saldırısının bir parçası olarak Check Point’in Zonealarm Antivirus yazılımı ile ilişkili meşru ama taahhütlü bir çekirdek sürücüsünü nasıl kullandıklarına dair bir rapor izliyor.
Daha sonra ayrıcalıklı erişim, tehdit aktörleri tarafından enfekte olmuş sistemlere uzak bir masaüstü protokol (RDP) bağlantısı kurmak için istismar edildi ve kalıcı erişimi kolaylaştırdı. O zamandan beri boşluk kontrol noktası ile takıldı.
Şirket, “Vsdatant.sys yüksek seviyeli çekirdek ayrıcalıklarıyla faaliyet gösterdiğinden, saldırganlar güvenlik açıklarını kullanabildiler, güvenlik korumalarını ve antivirüs yazılımını atlayabildiler ve enfekte makinelerin tam kontrolünü kazandı.” söz konusu.
“Bu savunmalar atlandıktan sonra, saldırganlar temel sisteme tam erişime sahipti, saldırganlar kullanıcı şifreleri ve diğer depolanmış kimlik bilgileri gibi hassas bilgilere erişebildiler. Bu veriler daha sonra kapıyı daha fazla sömürü için açtı.”
Geliştirme, RansomHub (diğer adıyla Greenbottle ve Cyclops) fidye yazılımı işleminin, daha önce belgelenmemiş çok fonksiyonlu bir arka kapı kodlu betruger’ın iştiraklerinden en az biri tarafından kullanılmasına atfedildiği için geliyor.
İmplant, tipik olarak fidye yazılımına öncü olarak dağıtılan kötü amaçlı yazılımlarla ilişkili özelliklerle birlikte gelir, örneğin ekran görüntüsü, anahtarlama, ağ taraması, ayrıcalık artışı, kimlik bilgisi boşaltma ve uzak bir sunucuya veri eksfiltrasyonu gibi.
Broadcom’a ait Symantec, “Betruger’ın işlevselliği, bir fidye yazılımı saldırısı hazırlanırken hedeflenen bir ağa düşen yeni araçların sayısını en aza indirmek için geliştirilmiş olabileceğini gösteriyor.” söz konusufidye yazılım grupları tarafından veri açığa çıkması için geliştirilen diğer özel araçlardan ayrılma bir şey olarak tanımlamak.
“Fidye yazılımı saldırılarında yükleri şifrelemekten başka özel kötü amaçlı yazılım kullanımı nispeten olağandışıdır. Çoğu saldırgan meşru araçlara, arazide yaşama ve Mimikatz ve Cobalt Strike gibi halka açık kötü amaçlı yazılımlara güvenmektedir.”
