Bir Medusa Ransomware kampanyası, hedeflenen organizasyon ağlarında uç nokta algılama ve yanıt (EDR) ürünlerini bozmak ve hatta silmek için kötü niyetli bir sürücü kullanıyor.
Elastik güvenlik laboratuvarlarından yeni araştırmalara göre, Abyssworker olarak adlandırılan kötü niyetli sürücü, Medusa fidye yazılımı sunmak için HeartCrypt adlı bir Hizmet Olarak Packer ile birlikte konuşlandırıldı. Elastik, sürücünün ilk olarak Ocak ayında Microsoft Teams kullanan BT destek aldatmacalarının farklı bir kampanyasını içeren ConnectWise yayınında belgelendiğini belirtti.
Medusa fidye yazılımı saldırılarında Elastik, kötü niyetli sürücünün meşru bir Crowdstrike Falcon şoförünü taklit ettiğini ve meşru bir program olarak maskelenmek için diğer şirketlerden dijital sertifikaları kullandığını keşfetti.
Elastik Güvenlik Laboratuarları kıdemli araştırma mühendisi Cyril François, “Tüm örnekler Çin şirketlerinden olası çalınan, iptal edilmiş sertifikalar kullanılarak imzalandı.” “Bu sertifikalar, farklı kötü amaçlı yazılım örnekleri ve kampanyaları arasında yaygın olarak bilinir ve paylaşılır, ancak bu sürücüye özgü değildir.”
İptal edilmesine rağmen, bu tür kod imzalama sertifikaları, Abyssworker gibi kötü amaçlı programlar için hala etkili olabilir. Sürücüler çekirdek erişimi olduğundan, Windows gibi işletim sistemleri yine de iptal edilmiş sertifikalı sürücülerin yüklenmesine izin verecektir, çünkü bu tür sürücülerin engellenmesi performansı olumsuz etkileyebilir ve sistemin çökmesine neden olabilir.
Sonuç olarak, sürücüler son yıllarda artan popüler hack araçları haline geldi. Saldırganların çekirdeği erişimi sağlarlar ve EDR ve diğer güvenlik ürünlerinin süreçlerini sonlandırma gibi ayrıcalıklı eylemleri mümkün kılabilirler. Tehdit aktörleri, Abyssworker gibi kendi kötü niyetli sürücülerini geliştirebilir veya “kendi savunmasız sürücünüzü getir” (BYOVD) saldırılarına katılabilir ve meşru bir sürücüde bir kusurdan yararlanıp kötü niyetli etkinlik için kullanabilirler.
EDR’yi silme
Abyssworker’da sürücü, EDR programlarını sonlandıran veya hatta kalıcı olarak silen dosyaları ve işlemleri manipüle edebilir. Örneğin, sürücü belirli API’lara kayıtlı geri arama bildirimlerini kaldırarak EDR ürünlerini “kör” olabilir.
Bu ayın başlarında CISA, FBI ve Çok Devlet Bilgi Paylaşımı ve Analiz Merkezi’nden ortak bir siber güvenlik danışmanlığı, Medusa’nın birçoğu kritik altyapı sektörlerinde olduğu iki yılda 300’den fazla organizasyona ulaştığı konusunda uyardı. Danışma ayrıca fidye yazılımı çetesinin EDR’yi bozmak veya silmek için BYOD saldırılarını kullandığını kaydetti.
ConnectWise’ın yazısı, kötü niyetli sürücünün önceki kampanyada Sentinelone ürünlerini hedeflediğini söyledi. Ancak Elastik, Abyssworker’ın şimdi birkaç farklı EDR satıcısını hedeflediğini kaydetti.