Участниците в заплахата, които стоят зад операцията Medusa ransomware-as-a-service (RaaS), са забелязани да използват зловреден драйвер, наречен ABYSSWORKER, като част от атака с уязвим драйвер (BYOVD), предназначена да деактивира инструменти за борба с малуера.
Лабораторията Elastic Security Labs заяви, че е наблюдавала атака с рансъмуер Medusa, при която криптографът е бил доставен чрез зареждащ модул, опакован с помощта на пакет-като-услуга (PaaS), наречен HeartCrypt.
„Този зареждащ модул беше разположен заедно с драйвер, подписан с отнет сертификат, от китайски доставчик, който нарекохме ABYSSWORKER, който се инсталира на машината на жертвата и след това се използва за насочване и заглушаване на различни доставчици на EDR“, заяви компанията в доклад.
Въпросният драйвер, „smuol.sys“, имитира легитимен драйвер на CrowdStrike Falcon („CSAgent.sys“). В платформата VirusTotal са открити десетки артефакти на ABYSSWORKER, които датират от 8 август 2024 г. до 25 февруари 2025 г. Всички идентифицирани образци са подписани с помощта на вероятно откраднати, анулирани сертификати от китайски компании.
Фактът, че злонамереният софтуер също е подписан, му придава фалш на доверие и му позволява да заобикаля системите за сигурност, без да привлича внимание. Струва си да се отбележи, че драйверът за откриване и реагиране на крайни точки (EDR), който убива, е бил документиран по-рано от ConnectWise през януари 2025 г. под името „nbwdv.sys“.
След като бъде инициализиран и стартиран, ABYSSWORKER е проектиран така, че да добавя идентификатора на процеса към списъка с глобални защитени процеси и да слуша за входящи заявки за управление на входно-изходните устройства, които след това се изпращат към подходящи обработващи програми въз основа на кода за управление на входно-изходните устройства.
„Тези манипулатори обхващат широк спектър от операции – от манипулиране на файлове до прекратяване на процеси и драйвери, като осигуряват цялостен набор от инструменти, които могат да се използват за прекратяване или трайно деактивиране на EDR системи“, казва Elastic.
Списъкът на някои от кодовете за контрол на входно/изходните операции е представен по-долу –
Особен интерес представлява 0x222400, който може да се използва за блокиране на продукти за сигурност чрез търсене и премахване на всички регистрирани обратни известия – подход, възприет и от други инструменти за унищожаване на EDR, като EDRSandBlast и RealBlindingEDR.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
