Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Злоумышленники использовали драйверы Microsoft для взлома систем

16/12/22

Micro hack2-1

Microsoft 13 декабря заявила, что заблокировала и приостановила действия учетных записей, которые использовались для публикации вредоносных драйверов, сертифицированных программой Windows Hardware Developer Program.

Расследование Microsoft показало, что активность была ограничена несколькими учетными записями программ разработчиков, и что дальнейшего взлома обнаружено не было. Расследование, было инициировано после того, как в октябре ИБ-компания Sophos сообщила о мошеннических драйверах, которые использовались для пост-эксплуатации и развертывания программ-вымогателей.

Такой метод атаки называется BYOVD (Bring Your Own Vulnerable Driver), поясняет Securitylab. Этот метод позволяет злоумышленнику с привилегиями администратора легко обойти защиту ядра Windows. Вместо того, чтобы писать эксплойт с нуля, киберпреступник просто устанавливает сторонний драйвер с известными уязвимостями. Затем он использует эти уязвимости, чтобы получить мгновенный доступ к некоторым из наиболее защищенных областей Windows.

Также компания Mandiant обнаружила, что группировка UNC3944 использует загрузчик STONESTOP для установки вредоносного драйвера POORTRY, предназначенного для завершения процессов антивирусных программ и удаления файлов.

Злоумышленники используют скомпрометированные, украденные и незаконно приобретенные сертификаты подписи кода для подписи вредоносного ПО. Было подписано несколько отдельных семейств вредоносных программ, связанных с отдельными субъектами угроз. Более того, хакеры используют сервис для подписи кода «на заказ» (malicious driver signing as a service), при этом они получают артефакты вредоносного ПО, подписанные через процесс аттестации Microsoft от имени участников сервиса.

Утверждается, что STONESTOP и POORTRY использовались в атаках на секторы телекоммуникаций, бизнес-аутсорса, MSP-услуг, финансовых услуг, криптовалют и транспорта.

С тех пор Microsoft отозвала сертификаты для затронутых файлов и приостановила действие учетных записей продавцов партнеров, чтобы противостоять угрозам.

Темы:MicrosoftПреступленияMandiantBring Your Own Vulnerable Driver
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...