Son Sonicwall VPN saldırı kampanyaları sırasında antivirüs ve uç nokta algılama ve yanıt (EDR) sistemlerini atlamak için meşru pencereler sürücülerini kullanan Akira fidye yazılımı iştirakleri tarafından kullanılan sofistike bir kaçaklama tekniği.
Temmuz ayı sonundan Ağustos 2025’in başlarına kadar yükselen saldırılar, tehdit aktörlerinin kalıcılığı korumak ve tehlikeye atılan ortamlarda tespit edilmesini önlemek için gelişen taktikleri gösteriyor.
Key Takeaways
1. Akira uses legitimate Windows drivers to bypass security controls.
2. Exploits undisclosed SonicWall VPN vulnerability for initial access.
3. Disable SSLVPN, enable MFA, hunt for malicious driver hashes.
Akira fidye yazılımı Windows sürücülerinden yararlanır
GuidePoint Security raporlarına göre, Akira fidye yazılımı operatörleri, güvenlik uzmanlarının kendi savunmasız sürücünüzü (BYOVD) saldırı metodolojisini getiren iki belirli Windows sürücüsünden yararlanıyor.
İlk sürücü, RWDRV.SYS (SHA256: 16F83F056177C4EC24C7E99D01CA9D9D6713BD0497EEEDB7777A3FFE99C97F0), Throttlestop’un Intel CPU’ları için tasarlanmış bir Windows Performance Ayarlama Yardımcısının meşru bir bileşenidir.
Tehdit aktörleri, bu sürücüyü tehlikeye atılan sistemlere çekirdek düzeyinde erişim elde etmek için bir hizmet olarak kaydediyor.
İkinci sürücü, HLPDRV.SYS (SHA256: BD1F381E5A3DB22E88776B7873D4D2B1DA0C58F81C84A56), daha fazla kötü niyetli bir amaca hizmet eder.
Yürütüldüğünde, Regedit.exe Yürütme aracılığıyla \ Register \ Machine \ Software \ Software \ Software \ Policaties \ Microsoft \ Windows Defender \ Disableantispyware içindeki DeSableantispyware Kayıt Defteri ayarlarını değiştirir.
Her iki sürücü de genellikle Path kullanıcılarına $$ REDACTED]\ AppData \ Local \ Temp \ yoluna dağıtılır ve sırasıyla “MGDSRV” ve “KMHLPSVC” adlı hizmetler olarak kaydedilir.
Sonicwall VPN hedefleme
Sürücü tabanlı kaçırma teknikleri, Sonicwall VPN sömürüsüne bağlı birden fazla Akira Fidye yazılımı olay yanıt vakalarında tutarlı bir şekilde gözlemlenmiştir.
Kesin güvenlik açığı açıklanmamış olsa da, Sonicwall tehdidi kabul etti ve pratik olduğu yerlerde SSLVPN hizmetlerinin devre dışı bırakılması, çok faktörlü kimlik doğrulama (MFA) uygulanması ve botnet korumasının GEOO-IP filtreleme ile etkinleştirilmesi de dahil olmak üzere acil durum önerileri yayınladı.
Güvenlik ekipleri, PE dosya yapısına dayalı kötü amaçlı HLPDRV.SYS sürücüsünü, ZWSetsecurityObject ve PSKSetsecurityObject ve PSOGOPPROCESSBYPROCESSID ve “hlpdrv” gibi Artifact dizelerini belirleyen YARA kurallarını kullanarak bu tehditleri tespit edebilir.
Kuruluşlar, Sonicwall’un ilk erişimi önlemek için önerilen sertleştirme önlemlerini uygularken bu göstergeler için avlanmaya öncelik vermelidir.
Uzlaşma Göstergeleri (IOCS)
SOC’nizi en son tehdit verilerine tam erişimle donatın Herhangi biri. Olay yanıtı iyileştirebilir -> 14 günlük ücretsiz deneme alın