Illesztőprogramok kihasználása
A Check Point Research felfedezett egy nagyszabású, folyamatban lévő kampányt, amely során támadók több ezer rosszindulatú programot használnak az EDR/AV (Endpoint Detection and Response/Antivirus) rendszerek kiiktatására. Ezek a programok a Truesight.sys nevű, sebezhető illesztőprogram 2.0.2-es verziójának több mint 2500 különböző változatát alkalmazzák. Ez az illesztőprogram az Adlice termékcsaládjának része, és a 3.4.0 alatti verziók ismert sebezhetőségeket tartalmaznak.
A támadók a Truesight 2.0.2-es verziójának sebezhetőségét használták ki, amely lehetővé tette számukra, hogy megkerüljék a Windows legújabb verzióinak védelmi mechanizmusait. Ezt a verziót azért választották, mert bár tartalmazza a sebezhető kódot, mégsem szerepel a Microsoft Vulnerable Driver Blocklistáján, így elkerüli a szokásos észlelési módszereket.
A detektálás elkerülése érdekében a támadók szándékosan több mint 2500 érvényesen aláírt változatot hoztak létre a 2.0.2-es illesztőprogramból, apró módosításokkal megváltoztatva annak hash értékét, miközben az aláírás érvényes maradt.
A támadók a nyilvános felhő kínai régiójában található infrastruktúrát használtak a rosszindulatú programok tárolására és a vezérlőszerverek üzemeltetésére. Az áldozatok körülbelül 75%-a Kínában található, a többi pedig Ázsia más részein, például Szingapúrban és Tajvanon.
Az elsődleges rosszindulatú programok gyakran ismert alkalmazásoknak álcázzák magukat, és általában adathalász módszerekkel terjesztik őket, beleértve megtévesztő weboldalakat és üzenetküldő alkalmazások adathalász csatornáit. Ezek a programok előkészítik a fertőzött gépet a végső szakaszban telepítendő payloadok, például a Gh0st RAT variánsok fogadására.
A Check Point Research jelentette ezt a problémát a Microsoft Security Response Centernek (MSRC), ami a Microsoft Vulnerable Driver Blocklist frissítéséhez vezetett 2024. december 17-én. Ez a frissítés hatékonyan megakadályozza az ebben a kampányban kihasznált összes legacy illesztőprogram betöltését.
