Er is een grootschalige malware-campagne gevonden die een kwetsbare Windows-stuurprogramma gebruikt die is geassocieerd met ADLICE’s productsuite om detectie-inspanningen te omzeilen en de GH0st Rat-malware te leveren.
“Om de detectie verder te ontwijken, genereerden de aanvallers opzettelijk meerdere varianten (met verschillende hashes) van de 2.0.2 -stuurprogramma door specifieke PE -onderdelen te wijzigen terwijl de handtekening geldig hield,” zei Check Point in een nieuw rapport dat maandag werd gepubliceerd.
Het cybersecuritybedrijf zei dat de kwaadaardige activiteit duizenden eerste fase kwaadaardige monsters omvatte die worden gebruikt om een programma te implementeren dat in staat is om eindpuntdetectie en responsensoftware (EDR) te beëindigen door middel van wat een BREEKEN uw eigen kwetsbare bestuurder (BYOVD) -aanval wordt genoemd.
Maar liefst 2500 verschillende varianten van de Legacy versie 2.0.2 van de kwetsbare Rogicekiller Antirootkit -driver, TrueSight.SYS, zijn geïdentificeerd op het Virustotal -platform, hoewel het aantal waarschijnlijk hoger is. De EDR-killer-module werd voor het eerst gedetecteerd en opgenomen in juni 2024.
De kwestie met de Trueight Driver, een willekeurige procesbeëindigingsbug die alle versies onder 3.4.0 beïnvloedt, is eerder bewapend om het proof-of-concept (POC) te bedenken zoals Darkside en TruesightKiller die openbaar beschikbaar zijn sinds ten minste november 2023.
In maart 2024 onthulde Sonicwall details van een lader genaamd DBATLoader die bleek de TrueSight.SYS -stuurprogramma te hebben gebruikt om beveiligingsoplossingen te doden voordat het REMCOS -rattenmalware werd geleverd.
Er zijn aanwijzingen dat de campagne het werk zou kunnen zijn van een dreigingsacteur die de Silver Fox APT wordt genoemd vanwege een bepaald niveau van overlappingen in de uitvoeringsketen en het gebruikte handel, inclusief de “infectievector, uitvoeringsketen, overeenkomsten in aanvankelijk Stage -monsters (…) en historische targetingpatronen. “
Dit wordt ook versterkt door het feit dat ongeveer 75% van de slachtoffers zich in China bevinden, met de rest geconcentreerd in andere delen van Azië, voornamelijk Singapore en Taiwan.
De aanvalsreeksen omvatten de verdeling van artefacten in de eerste fase die vaak worden vermomd als legitieme applicaties en gepropageerd via misleidende websites die deals aanbieden over luxe producten en frauduleuze kanalen in populaire berichten-apps zoals Telegram.
De monsters fungeren als een downloader, die de legacy-versie van het Truesight-stuurprogramma laat vallen, evenals de payload op de volgende fase die gemeenschappelijke bestandstypen nabootst, zoals PNG, JPG en GIF. De tweede fase malware gaat vervolgens verder met het ophalen van een andere malware die op zijn beurt de EDR-killer-module en de GH0ST RAT-malware laadt.
“Terwijl de varianten van de Legacy Trueight Driver (versie 2.0.2) doorgaans worden gedownload en geïnstalleerd door de initiële stage-monsters, kunnen ze ook rechtstreeks worden geïmplementeerd door de EDR/AV Killer-module als het stuurprogramma nog niet aanwezig is op het systeem , “Check Point uitgelegd.
“Dit geeft aan dat hoewel de EDR/AV -moordenaarmodule volledig is geïntegreerd in de campagne, deze in staat is om onafhankelijk van de eerdere fasen te opereren.”
De module maakt gebruik van de BYOVD -techniek om de gevoelige bestuurder te misbruiken om processen met betrekking tot bepaalde beveiligingssoftware te beëindigen. Daarbij biedt de aanval een voordeel in die zin dat het de Microsoft-kwetsbare driverblocklist omzeilt, een hash-waarde-gebaseerd Windows-mechanisme dat is ontworpen om het systeem te beschermen tegen bekende kwetsbare stuurprogramma’s.
De aanvallen culmineerden in de inzet van een variant van GH0st Rat genaamd HiddenGH0st, die is ontworpen om op afstand gecompromitteerde systemen te regelen, waardoor aanvallers een manier krijgen om gegevensdiefstal, toezicht en systeemmanipulatie uit te voeren.
Per 17 december 2024 heeft Microsoft de Blocklist van de stuurprogramma bijgewerkt om het bestuurder in kwestie op te nemen, waardoor de uitbuitingsvector effectief wordt geblokkeerd.
“Door specifieke delen van de bestuurder te wijzigen, terwijl het behouden van zijn digitale handtekening, omzeilden de aanvallers gemeenschappelijke detectiemethoden, waaronder de nieuwste Microsoft kwetsbare driverblokkeerlijst en Loldrivers Detection -mechanismen, waardoor ze maandenlang detectie konden ontwijken,” zei Check Point.
“Door de kwetsbaarheid van willekeurige procesbeëindiging te benutten stelde de EDR/AV -moordenaarmodule in staat om processen te richten en uit te schakelen die vaak worden geassocieerd met beveiligingsoplossingen, waardoor de stealth van de campagne verder werd verbeterd.”
