25/03/25
Цель — отключение антивирусных и EDR -систем на атакуемых устройствах. Аналитики Elastic Security Labs выявили атаку с применением загрузчика, упакованного через сервис HeartCrypt, который устанавливал вредоносный драйвер, подписанный отозванным сертификатом китайского производителя. Этот компонент маскировался под обычный драйвер Falcon от CrowdStrike.
Обнаруженный драйвер с именем «smuol.sys» внешне напоминал «CSAgent.sys» от CrowdStrike, пишут в Securitylab. На платформе VirusTotal зафиксированы десятки образцов ABYSSWORKER с августа 2024 года по конец февраля 2025 года. Все они подписаны отозванными, предположительно украденными сертификатами китайских компаний, что позволяло обходить защиту благодаря видимости доверенного происхождения.
Сам драйвер, как выяснили специалисты, предназначен для регистрации идентификатора процесса в списке защищённых и дальнейшего прослушивания I/O-запросов, перенаправляемых по внутренним кодам управления. Это позволяет гибко управлять файлами, процессами и драйверами, включая их удаление и завершение, вплоть до полного выведения из строя средств защиты.
Особый интерес у исследователей вызвала команда с кодом 0x222400, способная удалять системные callback-функции по имени модуля — ключевой метод подавления активности антивирусов . Похожие техники ранее наблюдались у других ЕDR-киллеров вроде EDRSandBlast и RealBlindingЕDR. Также задокументированы возможности ABYSSWORKER по перезапуску машины, загрузке API, удалению файлов и завершению системных потоков.
Параллельно появились сведения от Venak Security об использовании другой уязвимости в драйвере ZoneAlarm от Check Point. В атаке применялся устаревший драйвер «vsdatant.sys», обладающий высоким уровнем привилегий в ядре. Эксплуатируя уязвимость , злоумышленники обходили защиту Windows, включая отключение функции Memory Integrity, после чего получали удалённый доступ через RDP и могли эксфильтровать данные.
По данным Check Point, уязвимый драйвер давно снят с поддержки, а актуальные версии продуктов ZoneAlarm и Harmony Endpoint не подвержены описанной атаке. Представители компании заверили, что все версии, выпущенные за последние 8 лет, защищены от подобных BYOVD-эксплуатаций.
Подобные атаки указывают на усиление интереса группировок к кастомизированным решениям и драйверам с высоким уровнем доступа. Эти средства дают возможность не только незаметно внедряться в защищённые среды, но и системно разрушать механизмы обнаружения и противодействия с предельной скрытностью и точностью.
