Участниците в заплахата, които стоят зад операцията Medusa ransomware-as-a-service (RaaS), са забелязани да използват зловреден драйвер, наречен ABYSSWORKER, като част от атака с уязвим драйвер (BYOVD), предназначена да деактивира инструменти за борба с малуера.

Лабораторията Elastic Security Labs заяви, че е наблюдавала атака с рансъмуер Medusa, при която криптографът е бил доставен чрез зареждащ модул, опакован с помощта на пакет-като-услуга (PaaS), наречен HeartCrypt.

„Този зареждащ модул беше разположен заедно с драйвер, подписан с отнет сертификат, от китайски доставчик, който нарекохме ABYSSWORKER, който се инсталира на машината на жертвата и след това се използва за насочване и заглушаване на различни доставчици на EDR“, заяви компанията в доклад.

Въпросният драйвер, „smuol.sys“, имитира легитимен драйвер на CrowdStrike Falcon („CSAgent.sys“). В платформата VirusTotal са открити десетки артефакти на ABYSSWORKER, които датират от 8 август 2024 г. до 25 февруари 2025 г. Всички идентифицирани образци са подписани с помощта на вероятно откраднати, анулирани сертификати от китайски компании.

Фактът, че злонамереният софтуер също е подписан, му придава фалш на доверие и му позволява да заобикаля системите за сигурност, без да привлича внимание. Струва си да се отбележи, че драйверът за откриване и реагиране на крайни точки (EDR), който убива, е бил документиран по-рано от ConnectWise през януари 2025 г. под името „nbwdv.sys“.

След като бъде инициализиран и стартиран, ABYSSWORKER е проектиран така, че да добавя идентификатора на процеса към списъка с глобални защитени процеси и да слуша за входящи заявки за управление на входно-изходните устройства, които след това се изпращат към подходящи обработващи програми въз основа на кода за управление на входно-изходните устройства.

„Тези манипулатори обхващат широк спектър от операции – от манипулиране на файлове до прекратяване на процеси и драйвери, като осигуряват цялостен набор от инструменти, които могат да се използват за прекратяване или трайно деактивиране на EDR системи“, казва Elastic.

Списъкът на някои от кодовете за контрол на входно/изходните операции е представен по-долу –

• 0x222080 – Разрешаване на драйвера чрез изпращане на парола „7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X“
• 0x2220c0 – Зареждане на необходимите API на ядрото
• 0x222184 – Копиране на файл
• 0x222180 – Изтриване на файл
• 0x222408 – Убива системни нишки по име на модул
• 0x222400 – Премахване на обратни известия по име на модул
• 0x2220c0 – Зареждане на API
• 0x222144 – Прекратяване на процес по неговия идентификатор
• 0x222140 – Прекратяване на нишка по нейния идентификатор
• 0x222084 – Деактивиране на зловреден софтуер
• 0x222664 – Рестартиране на машината

Особен интерес представлява 0x222400, който може да се използва за блокиране на продукти за сигурност чрез търсене и премахване на всички регистрирани обратни известия – подход, възприет и от други инструменти за унищожаване на EDR, като EDRSandBlast и RealBlindingEDR.