Всего несколько месяцев назад, в июне 2024 года, исследовательская группа CPR обнаружила масштабную продолжающуюся киберкампанию, использующую тысячи образцов вредоносного ПО. Основная цель этой кампании — развертывание модуля EDR/AV killer, направленного на отключение систем безопасности.
Злоупотребление уязвимостями
В этой атаке злоумышленники используют более 2500 вариантов уязвимого драйвера Truesight.sys, преимущественно устаревшую версию 2.0.2, которая является частью пакета RogueKiller Antirootkit от Adlice. Этот драйвер содержит известную уязвимость, позволяющую произвольно завершать процессы в версиях, предшествующих 3.4.0.
Методы обхода систем безопасности
Злоумышленники нашли способ обойти политику подписи драйверов Windows, что позволило загрузить устаревшую версию драйвера в современных операционных системах. Тактика заключается в:
- Создании множества модифицированных версий драйвера с разными хэшами;
- Использовании действительных цифровых подписей;
- Распространении вредоносных программ через фишинг, включая мошеннические веб-сайты.
Географическое распространение и инфраструктура
Инфраструктура кампании использует общедоступные облачные сервисы в Китае, где расположены примерно 75% жертв. Остальные жертвы находятся в таких регионах, как Сингапур и Тайвань.
Сложность и механизмы атак
Модуль EDR/AV killer предназначен для отключения систем безопасности, используя уязвимость в драйвере Truesight. Кампания проявляет сложность за счет:
- Зашифрованных механизмов доставки полезной нагрузки;
- Развертывания конечной полезной нагрузки в памяти;
- Использования запланированных задач для обеспечения сохраняемости.
Маскировка и методы сокрытия
Вредоносные приложения обычно маскируются под законные, используя распространенные расширения файлов, такие как PNG или JPG, чтобы скрыть полезную нагрузку. После расшифровки эти файлы могут выполняться напрямую или загружаться автоматически с защитными средствами против анализа.
Связи с известными хакерами
Потенциальные связи с известным хакером Silver Fox были оценены, учитывая сходство тактики и методов, используемых в цепочке исполнения. Дальнейший анализ показал, что кампания имеет финансовую подоплеку и не спонсируется государством, что расширяет спектр целевых секторов.
Реакция и меры безопасности
В ответ на эту угрозу CPR сообщила об уязвимостях в Центр реагирования на безопасность Microsoft (MSRC), что привело к обновлению списка уязвимых драйверов Microsoft 17 декабря 2024 года. Это обновление направлено на предотвращение использования устаревшего драйвера Truesight и подчеркивает необходимость улучшенных механизмов обнаружения, превосходящих базовые проверки хэша.
Таким образом, данная кампания иллюстрирует эволюционирующую природу угроз и постоянную потребность в надежных адаптивных мерах безопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Масштабная киберкампания использует уязвимость драйвера Truesight".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.