Medusa Hizmet Olarak Fidye Yazılımı (RAAS) operasyonunun arkasındaki tehdit aktörleri, adlandırılan kötü amaçlı bir sürücü kullanılarak gözlendi Horca Kendi savunmasız sürücünüzü (BYOVD) saldırının bir parçası olarak, kötü amaçlı yazılım karşıtı araçları devre dışı bırakmak için tasarlanmıştır.
Elastik güvenlik laboratuvarları, HeartCrypt adı verilen bir Packer (PaaS) kullanılarak paketlenmiş bir yükleyici aracılığıyla şifreleyiciyi teslim eden bir Medusa fidye yazılımı saldırısı gözlemlediğini söyledi.
Şirket, “Bu yükleyici, kurban makinesine kurduğu ve daha sonra farklı EDR satıcılarını hedeflemek ve susturmak için kullandığı Abyssworker adını verdiğimiz bir Çinli satıcıdan iptal edilmiş bir sertifika imzalı sürücünün yanına yerleştirildi.” Dedi.
Söz konusu sürücü, “Smuol.sys”, meşru bir Crowdstrike Falcon sürücüsünü (“Csagent.sys”) taklit ediyor. 8 Ağustos 2024’ten 25 Şubat 2025’e kadar olan Virustotal platformunda düzinelerce abyssworker eseri tespit edilmiştir. Belirlenen tüm örnekler Çin şirketlerinden olası çalıntı, iptal edilmiş sertifikalar kullanılarak imzalanmıştır.
Kötü amaçlı yazılımın da imzalanması, ona bir güven kaplaması verir ve dikkat çekmeden güvenlik sistemlerini atlamasına izin verir. Son nokta algılama ve yanıt (EDR) -Killing sürücüsünün daha önce Ocak 2025’te “nbwdv.sys” adı altında ConnectWise tarafından belgelendiğini belirtmek gerekir.
Başlatıldıktan ve başlatıldıktan sonra, Abyssworker, işlem kimliğini küresel korumalı işlemlerin bir listesine eklemek ve daha sonra G/Ç kontrol koduna göre uygun işleyicilere gönderilen gelen cihaz G/Ç kontrol isteklerini dinlemek için tasarlanmıştır.
Elastik, “Bu işleyiciler, dosya manipülasyonundan işleme ve sürücünün sonlandırılmasına kadar çok çeşitli işlemleri kapsar ve EDR sistemlerini sonlandırmak veya kalıcı olarak devre dışı bırakmak için kullanılabilecek kapsamlı bir araç seti sağlar.” Dedi.
Bazı G/Ç kontrol kodlarının listesi aşağıdadır –
- 0x222080-“7n6bcaoecbitsur5-h4rp2nkqxybfkb0f-wgbjgh20pwuun1-zxfxdioyps6Htp0x” şifresi göndererek sürücüyü etkinleştirin “
- 0x2220c0 – Yük gerekli çekirdek API’leri
- 0x222184 – Kopyala dosyası
- 0x222180 – dosyayı sil
- 0x222408 – Modül adına göre sistem iş parçacıklarını öldür
- 0x222400 – Bildirim geri aramalarını modül adına göre kaldır
- 0x2220c0 – Yük API
- 0x222144 – Süreci süreç kimliklerine göre sonlandırın
- 0x222140 – Konu kimliğine göre iş parçacığını sonlandırın
- 0x222084 – Kötü amaçlı yazılımları devre dışı bırakın
- 0x222664 – Makineyi yeniden başlatın
Özellikle ilgi çekici olan 0x222400, Kayıtlı Bildirim Geri Aranmalarını arayarak ve kaldırarak güvenlik ürünlerini kör etmek için kullanılabilen, EDRSandblast ve RealBlindingedR gibi diğer EDR-Silling araçları tarafından da benimsenen bir yaklaşım.
Bulgular, Venak Security’den, tehdit aktörlerinin, yüksek ayrıcalık kazanmak ve bellek bütünlüğü gibi Windows güvenlik özelliklerini devre dışı bırakmak için tasarlanmış bir BYOVD saldırısının bir parçası olarak Check Point’in Zonealarm Antivirus yazılımı ile ilişkili meşru ama taahhütlü bir çekirdek sürücüsünü nasıl kullandıklarına dair bir rapor izliyor.
Daha sonra ayrıcalıklı erişim, tehdit aktörleri tarafından enfekte olmuş sistemlere uzak bir masaüstü protokol (RDP) bağlantısı kurmak için istismar edildi ve kalıcı erişimi kolaylaştırdı. O zamandan beri boşluk kontrol noktası ile takıldı.
Şirket, “VSDATANT.SYS üst düzey çekirdek ayrıcalıklarıyla faaliyet gösterdiğinden, saldırganlar güvenlik açıklarından yararlanabildi, güvenlik korumalarını ve antivirüs yazılımını atlayabildi ve enfekte makinelerin tam kontrolünü kazandı.” Dedi.
“Bu savunmalar atlandıktan sonra, saldırganlar temel sisteme tam erişime sahipti, saldırganlar kullanıcı şifreleri ve diğer depolanmış kimlik bilgileri gibi hassas bilgilere erişebildiler. Bu veriler daha sonra kapıyı daha fazla sömürü için açtı.”
Geliştirme, RansomHub (diğer adıyla Greenbottle ve Cyclops) fidye yazılımı işleminin, daha önce belgelenmemiş çok fonksiyonlu bir arka kapı kodlu betruger’ın iştiraklerinden en az biri tarafından kullanılmasına atfedildiği için geliyor.
İmplant, tipik olarak fidye yazılımına öncü olarak dağıtılan kötü amaçlı yazılımlarla ilişkili özelliklerle birlikte gelir, örneğin ekran görüntüsü, anahtarlama, ağ taraması, ayrıcalık artışı, kimlik bilgisi boşaltma ve uzak bir sunucuya veri eksfiltrasyonu gibi.
Broadcom’a ait Symantec, “Betruger’ın işlevselliği, fidye yazılımı saldırısı hazırlanırken hedeflenen bir ağa bırakılan yeni araçların sayısını en aza indirmek için geliştirilmiş olabileceğini gösteriyor.” Dedi.
“Fidye yazılımı saldırılarında yükleri şifrelemekten başka özel kötü amaçlı yazılım kullanımı nispeten olağandışıdır. Çoğu saldırgan meşru araçlara, arazide yaşama ve Mimikatz ve Cobalt Strike gibi halka açık kötü amaçlı yazılımlara güvenmektedir.”