De dreigingsacteurs achter de Medusa Ransomware-as-a-Service (RAAS) operatie zijn waargenomen met behulp van een kwaadwillende bestuurder nagesynchroniseerd Abyssworker Als onderdeel van een aanslag van uw eigen kwetsbare bestuurder (BYOVD) die is ontworpen om anti-malware-tools uit te schakelen.
Elastische beveiligingslaboratoria zei dat het een Medusa-ransomware-aanval waarnam die de encryptor leverde door middel van een lader verpakt met behulp van een Packer-as-a-Service (PAAS) genaamd Heartcrypt.
“Deze lader werd geïmplementeerd naast een ingetrokken certificaatstuurprogramma van een Chinese verkoper die we Abyssworker hebben genoemd, die het op de slachtoffermachine installeert en vervolgens gebruikt om verschillende EDR-leveranciers te richten en tot zwijgen te brengen,” zei het bedrijf in een rapport.
De bestuurder in kwestie, “Smuol.sys”, bootst een legitieme Crowdstrike Falcon -driver na (“CSAGENT.SYS”). Tientallen Abyssworker -artefacten zijn gedetecteerd op het Virustotal -platform daterend van 8 augustus 2024 tot 25 februari 2025. Alle geïdentificeerde monsters worden ondertekend met behulp van waarschijnlijke gestolen, ingetrokken certificaten van Chinese bedrijven.
Het feit dat de malware ook wordt ondertekend, geeft het een fineer van vertrouwen en laat het beveiligingssystemen omzeilen zonder aandacht te trekken. Het is vermeldenswaard dat de driver van het eindpuntdetectie en de respons (EDR) eerder in januari 2025 door ConnectWise werd gedocumenteerd onder de naam “NBWDV.SYS.”
Eenmaal geïnitialiseerd en gelanceerd, is Abyssworker ontworpen om de proces -ID toe te voegen aan een lijst met globale beschermde processen en te luisteren naar inkomend apparaat -I/O -besturingsverzoeken, die vervolgens worden verzonden naar geschikte handlers op basis van I/O -besturingscode.
“Deze handlers bestrijken een breed scala aan bewerkingen, van bestandsmanipulatie tot verwerken en beëindiging van de bestuurder, waardoor een uitgebreide toolset biedt die kan worden gebruikt om EDR -systemen te beëindigen of permanent uit te schakelen,” zei Elastic.
De lijst met enkele I/O -besturingscodes is hieronder –
- 0x222080-Schakel het stuurprogramma in door een wachtwoord te verzenden “7n6bcaoecbitsur5-h4rp2nkqxybfkb0f-wgbjghgh20pwuun1-zxfxdioyps6htp0x”
- 0x2220c0 – Laad de benodigde kernel -API’s
- 0x222184 – Bestand kopiëren
- 0x222180 – Bestand verwijderen
- 0x222408 – Systemthreads doden op modulenaam
- 0x222400 – Verwijder callbacks van meldingen op modulenaam
- 0x2220c0 – Laad API
- 0x222144 – Beëindig het proces door hun proces -ID
- 0x222140 – Beëindig de draad door hun thread -ID
- 0x222084 – Schakel malware uit
- 0x222664 – Start de machine opnieuw op
Van bijzonder belang is 0x222400, die kan worden gebruikt om beveiligingsproducten te blinden door alle geregistreerde callbacks te zoeken en te verwijderen, een aanpak die ook wordt gevolgd door andere EDR-dodende tools zoals EDRSandBlast en RealBlindingedr.
De bevindingen volgen een rapport van Venak Security over hoe dreigingsactoren een legitieme maar onvoldoende kerneldriver exploiteren geassocieerd met Check Point’s Zonealarm Antivirus-software als onderdeel van een BYOVD-aanval die is ontworpen om verhoogde privileges te krijgen en Windows-beveiligingsfuncties zoals geheugenintegriteit uitschakelen.
De bevoorrechte toegang werd vervolgens misbruikt door de dreigingsactoren om een externe Desktop Protocol (RDP) -verbinding met de geïnfecteerde systemen tot stand te brengen, waardoor persistente toegang werd vergemakkelijkt. De maas in de wet is sindsdien op het controlepunt aangesloten.
“Als vsdatant.sys werkt met hoogwaardige kernelrechten, konden aanvallers zijn kwetsbaarheden exploiteren, beveiligingsbescherming en antivirussoftware omzeilen en volledige controle over de geïnfecteerde machines krijgen,” zei het bedrijf.
“Nadat deze verdedigingen waren omzeild, hadden aanvallers volledige toegang tot het onderliggende systeem, de aanvallers hadden toegang tot gevoelige informatie zoals gebruikerswachtwoorden en andere opgeslagen referenties. Deze gegevens werden vervolgens geëxfiltreerd, waardoor de deur werd geopend voor verdere uitbuiting.”
De ontwikkeling komt als de ransomhub (aka greenbottle en cyclops) ransomware-operatie is toegeschreven aan het gebruik van een eerder zonder papieren multifunctionele achterdeur codenaam van betuiger door ten minste een van de gelieerde ondernemingen.
Het implantaat wordt geleverd met functies die meestal zijn geassocieerd met malware die wordt geïmplementeerd als een voorloper van ransomware, zoals screenshotting, keylogging, netwerkscanning, escalatie van privileges, dumping van de referenties en gegevensuitvoeringen naar een externe server.
“De functionaliteit van betruger geeft aan dat het mogelijk is ontwikkeld om het aantal nieuwe tools op een gericht netwerk te minimaliseren, terwijl een ransomware-aanval wordt opgesteld,” zei Symantec van Broadcom en beschreef het als iets van een afwijking van andere aangepaste tools die zijn ontwikkeld door ransomwaregroepen voor gegevensuitbreiding.
“Het gebruik van aangepaste malware anders dan het coderen van payloads is relatief ongebruikelijk in ransomware -aanvallen. De meeste aanvallers vertrouwen op legitieme tools, leven van het land en openbaar beschikbare malware zoals Mimikatz en Cobalt Strike.”
