Büyük ölçekli bir kötü amaçlı yazılım kampanyası, ADLICE’in ürün paketiyle ilişkili savunmasız bir Windows sürücüsünü kaldırarak GH0ST sıçan kötü amaçlı yazılımları sunmak için bulundu.
Pazartesi günü yayınlanan yeni bir raporda, “Daha fazla tespitten kaçınmak için, saldırganlar imzayı geçerli tutarken belirli PE parçalarını değiştirerek 2.0.2 sürücüsünün kasıtlı olarak çoklu varyantları (farklı karmalarla) oluşturdu.”
Siber güvenlik şirketi, kötü niyetli etkinliğin, kendi savunmasız sürücü (BYOVD) saldırınızı getirme olarak adlandırılan uç nokta algılama ve yanıt (EDR) yazılımını sonlandırabilen bir programı dağıtmak için kullanılan binlerce birinci aşama kötü amaçlı örnek içerdiğini söyledi.
Korunmasız RogueKiller Antirootkit sürücüsü Truesight.sys’in Legacy sürüm 2.0.2’nin 2.500 farklı varyantı Virustotal platformda tanımlanmıştır, ancak sayının daha yüksek olduğuna inanılmaktadır. EDR-Killer modülü ilk olarak Haziran 2024’te tespit edildi ve kaydedildi.
3.4.0’ın altındaki tüm sürümleri etkileyen keyfi bir süreç fesih hatası olan Truesight Driver ile ilgili sorun, daha önce en az Kasım 2023’ten beri halka açık olan Darkside ve Truesightkiller gibi kavram kanıtı (POC) istismarları tasarlamak için silahlandırılmıştır.
Mart 2024’te Sonicwall, Remcos Rat kötü amaçlı yazılımlarını teslim etmeden önce Truesight.sys sürücüsünü güvenlik çözümlerini öldürmek için kullandığı tespit edilen DBatloader adlı bir yükleyicinin ayrıntılarını açıkladı.
Kampanyanın, “enfeksiyon vektörü, yürütme zinciri, başlangıçtaki benzerlikler de dahil olmak üzere, yürütme zincirindeki ve kullanılan Tradecraft’ta bir miktar örtüşme nedeniyle Silver Fox Apt adlı bir tehdit aktörünün çalışması olabileceğini gösteren bazı kanıtlar var. sahne örnekleri […]ve tarihsel hedefleme kalıpları. “
Saldırı dizileri, genellikle meşru uygulamalar olarak gizlenen ve Telegram gibi popüler mesajlaşma uygulamalarında lüks ürünler ve hileli kanallar üzerinde anlaşmalar sunan aldatıcı web siteleri aracılığıyla yayılan birinci aşama eserlerin dağılımını içerir.
Örnekler, Truesight sürücüsünün eski sürümünü ve PNG, JPG ve GIF gibi ortak dosya türlerini taklit eden sonraki aşamalı yükü bırakan bir indirici olarak hareket eder. İkinci aşamalı kötü amaçlı yazılım, EDR-Katil Modülünü ve GH0ST RAT kötü amaçlı yazılımını yükleyen başka bir kötü amaçlı yazılım almaya devam eder.
“Legacy Truesight Driver’ın (sürüm 2.0.2) varyantları genellikle başlangıç aşaması örnekleri tarafından indirilir ve yüklenirken, sürücü sistemde zaten mevcut değilse doğrudan EDR/AV Killer modülü tarafından dağıtılabilir. , “Kontrol noktası açıklandı.
“Bu, EDR/AV Killer modülü kampanyaya tamamen entegre olmasına rağmen, önceki aşamalardan bağımsız olarak çalışabildiğini gösteriyor.”
Modül, belirli güvenlik yazılımlarıyla ilgili süreçleri sonlandırmak amacıyla duyarlı sürücüyü kötüye kullanmak için BYOVD tekniğini kullanır. Bunu yaparken, saldırı, sistemi bilinen savunmasız sürücülere karşı korumak için tasarlanmış karma değer tabanlı bir Windows mekanizması olan Microsoft savunmasız sürücü blok listesini atlaması açısından bir avantaj sunuyor.
Saldırılar, tehlikeye atılan sistemleri uzaktan kontrol etmek için tasarlanmış ve saldırganlara veri hırsızlığı, gözetim ve sistem manipülasyonu yapmanın bir yolunu veren Hiddengh0st adlı bir GH0ST sıçan çeşidinin konuşlandırılmasıyla sonuçlandı.
17 Aralık 2024 itibariyle Microsoft, sürücü blok listesini söz konusu sürücüyü içerecek şekilde güncelledi ve sömürü vektörünü etkili bir şekilde engelledi.
Check Point, “Dijital imzasını korurken sürücünün belirli bölümlerini değiştirerek, saldırganlar en son Microsoft savunmasız sürücü blok listesi ve Loldrivers algılama mekanizmaları da dahil olmak üzere ortak algılama yöntemlerini atladı ve aylarca algılamadan kaçınmalarına izin verdi.” Dedi.
“Keyfi süreç sonlandırma kırılganlığından yararlanmak, EDR/AV Killer modülünün güvenlik çözümleriyle ortak olarak ilişkili süreçleri hedeflemesine ve devre dışı bırakmasına ve kampanyanın gizliliğini daha da artırmasına izin verdi.”