Campagna malware su larga scala sfrutta driver vulnerabile di Windows
- 1 Campagna malware su larga scala sfrutta driver vulnerabile di Windows
- 2 Attacco BYOVD e varianti del driver RogueKiller
- 3 Vulnerabilità del driver Truesight e PoC pubblici
- 4 Possibile coinvolgimento del gruppo Silver Fox APT
- 5 Distribuzione e propagazione del malware
- 6 Funzionamento indipendente del modulo EDR/AV killer
Una campagna malware su larga scala è stata scoperta mentre sfruttava un driver Windows vulnerabile associato alla suite di prodotti di Adlice per eludere gli sforzi di rilevamento e distribuire il malware Gh0st RAT. Secondo un nuovo rapporto pubblicato da Check Point, gli attaccanti hanno generato deliberatamente varianti multiple (con hash differenti) del driver 2.0.2 modificando parti specifiche del PE, mantenendo però valida la firma, per sfuggire ulteriormente al rilevamento.
Attacco BYOVD e varianti del driver RogueKiller
L’attività malevola ha coinvolto migliaia di campioni malevoli di primo stadio utilizzati per distribuire un programma capace di terminare software di rilevamento e risposta degli endpoint (EDR) attraverso un attacco noto come “bring your own vulnerable driver” (BYOVD). Sono state identificate su VirusTotal fino a 2.500 varianti distinte della versione legacy 2.0.2 del driver vulnerabile RogueKiller Antirootkit, truesight.sys, sebbene si ritenga che il numero possa essere più alto. Il modulo EDR-killer è stato rilevato e registrato per la prima volta a giugno 2024.
Vulnerabilità del driver Truesight e PoC pubblici
Il problema con il driver Truesight, un bug di terminazione arbitraria dei processi che interessa tutte le versioni inferiori alla 3.4.0, è stato precedentemente sfruttato per sviluppare exploit proof-of-concept (PoC) come Darkside e TrueSightKiller, disponibili pubblicamente almeno da novembre 2023. A marzo 2024, SonicWall ha rivelato dettagli su un loader chiamato DBatLoader che ha utilizzato il driver truesight.sys per eliminare soluzioni di sicurezza prima di distribuire il malware Remcos RAT.
Possibile coinvolgimento del gruppo Silver Fox APT
Ci sono alcune evidenze che suggeriscono che la campagna possa essere opera di un attore di minacce chiamato Silver Fox APT, a causa di alcune sovrapposizioni nella catena di esecuzione e nelle tecniche impiegate, inclusi il vettore di infezione, la catena di esecuzione, somiglianze nei campioni di primo stadio e modelli di targeting storici. Questo è ulteriormente supportato dal fatto che circa il 75% delle vittime si trova in Cina, con il resto concentrato in altre parti dell’Asia, principalmente Singapore e Taiwan.
Distribuzione e propagazione del malware
Le sequenze di attacco coinvolgono la distribuzione di artefatti di primo stadio spesso mascherati da applicazioni legittime e propagati tramite siti web ingannevoli che offrono offerte su prodotti di lusso e canali fraudolenti in app di messaggistica popolari come Telegram. I campioni agiscono come downloader, rilasciando la versione legacy del driver Truesight, oltre al payload di secondo stadio che imita tipi di file comuni, come PNG, JPG e GIF. Il malware di secondo stadio procede quindi a recuperare un altro malware che, a sua volta, carica il modulo EDR-killer e il malware Gh0st RAT.
Funzionamento indipendente del modulo EDR/AV killer
Check Point ha spiegato che, sebbene le varianti del driver legacy Truesight (versione 2.0.2) siano tipicamente scaricate e installate dai campioni di primo stadio, possono anche essere distribuite direttamente dal modulo EDR/AV killer se il driver non è già presente sul sistema. Questo indica che, sebbene il modulo EDR/AV killer sia completamente integrato nella campagna, è in grado di operare indipendentemente.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!