Attacco BYOVD: Medusa ransomware e il driver malevolo ABYSSWORKER
Il gruppo di attori malevoli dietro l’operazione di ransomware-as-a-service (RaaS) Medusa è stato osservato utilizzare un driver malevolo chiamato ABYSSWORKER come parte di un attacco bring your own vulnerable driver (BYOVD) progettato per disabilitare gli strumenti anti-malware.
Il ruolo del loader HeartCrypt
Elastic Security Labs ha rilevato un attacco ransomware Medusa che ha consegnato l’encryptor tramite un loader confezionato utilizzando un packer-as-a-service (PaaS) chiamato HeartCrypt. Questo loader è stato distribuito insieme a un driver firmato con un certificato revocato di un fornitore cinese, che abbiamo chiamato ABYSSWORKER. Questo driver viene installato sulla macchina della vittima e utilizzato per prendere di mira e silenziare diversi fornitori di EDR.
Il driver smuol.sys e la sua mimica
Il driver in questione, “smuol.sys”, imita un driver legittimo di CrowdStrike Falcon (“CSAgent.sys”). Dozzine di artefatti ABYSSWORKER sono stati rilevati sulla piattaforma VirusTotal, datati dall’8 agosto 2024 al 25 febbraio 2025. Tutti i campioni identificati sono firmati utilizzando certificati probabilmente rubati e revocati da aziende cinesi.
Funzionalità del driver ABYSSWORKER
Una volta inizializzato e lanciato, ABYSSWORKER è progettato per aggiungere l’ID del processo a una lista di processi protetti globali e ascoltare le richieste di controllo I/O del dispositivo in arrivo, che vengono poi inviate ai gestori appropriati in base al codice di controllo I/O. Questi gestori coprono una vasta gamma di operazioni, dalla manipolazione dei file alla terminazione di processi e driver, fornendo un set di strumenti completo che può essere utilizzato per terminare o disabilitare permanentemente i sistemi EDR.
Codici di controllo I/O
La lista di alcuni dei codici di controllo I/O include:
- 0x222080 – Abilita il driver inviando una password “7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X”.
- 0x2220c0 – Carica le API del kernel necessarie.
- 0x222184 – Copia file.
- 0x222180 – Elimina file.
- 0x222408 – Termina i thread di sistema per nome del modulo.
- 0x222400 – Rimuove i callback di notifica per nome del modulo.
- 0x222144 – Termina il processo per ID del processo.
- 0x222140 – Termina il thread per ID del thread.
- 0x222084 – Disabilita il malware.
- 0x222664 – Riavvia la macchina.
Di particolare interesse è il codice 0x222400, che può essere utilizzato per accecare i prodotti di sicurezza cercando e rimuovendo tutti i callback di notifica registrati, un approccio adottato anche da altri strumenti di eliminazione EDR come EDRSandBlast e RealBlindingEDR.
Attacchi BYOVD e driver vulnerabili
Queste scoperte seguono un rapporto di Venak Security su come gli attori malevoli stiano sfruttando un driver del kernel legittimo ma vulnerabile associato al software antivirus ZoneAlarm di Check Point come parte di un attacco BYOVD progettato per ottenere privilegi elevati e disabilitare funzionalità di sicurezza di Windows come l’integrità della memoria. L’accesso privilegiato è stato poi abusato dagli attori malevoli per stabilire una connessione Remote Desktop Protocol (RDP) al sistema infetto.
Fonte: The Hackers News
