16/12/22
Microsoft 13 декабря заявила, что заблокировала и приостановила действия учетных записей, которые использовались для публикации вредоносных драйверов, сертифицированных программой Windows Hardware Developer Program.
Расследование Microsoft показало, что активность была ограничена несколькими учетными записями программ разработчиков, и что дальнейшего взлома обнаружено не было. Расследование, было инициировано после того, как в октябре ИБ-компания Sophos сообщила о мошеннических драйверах, которые использовались для пост-эксплуатации и развертывания программ-вымогателей.
Такой метод атаки называется BYOVD (Bring Your Own Vulnerable Driver), поясняет Securitylab. Этот метод позволяет злоумышленнику с привилегиями администратора легко обойти защиту ядра Windows. Вместо того, чтобы писать эксплойт с нуля, киберпреступник просто устанавливает сторонний драйвер с известными уязвимостями. Затем он использует эти уязвимости, чтобы получить мгновенный доступ к некоторым из наиболее защищенных областей Windows.
Также компания Mandiant обнаружила, что группировка UNC3944 использует загрузчик STONESTOP для установки вредоносного драйвера POORTRY, предназначенного для завершения процессов антивирусных программ и удаления файлов.
Злоумышленники используют скомпрометированные, украденные и незаконно приобретенные сертификаты подписи кода для подписи вредоносного ПО. Было подписано несколько отдельных семейств вредоносных программ, связанных с отдельными субъектами угроз. Более того, хакеры используют сервис для подписи кода «на заказ» (malicious driver signing as a service), при этом они получают артефакты вредоносного ПО, подписанные через процесс аттестации Microsoft от имени участников сервиса.
Утверждается, что STONESTOP и POORTRY использовались в атаках на секторы телекоммуникаций, бизнес-аутсорса, MSP-услуг, финансовых услуг, криптовалют и транспорта.
С тех пор Microsoft отозвала сертификаты для затронутых файлов и приостановила действие учетных записей продавцов партнеров, чтобы противостоять угрозам.
