Microsoft 13 декабря заявила , что заблокировала и приостановила действия учетных записей, которые использовались для публикации вредоносных драйверов, сертифицированных программой Windows Hardware Developer Program.
Расследование Microsoft показало, что активность была ограничена несколькими учетными записями программ разработчиков, и что дальнейшего взлома обнаружено не было. Расследование, было инициировано после того, как в октябре ИБ-компания Sophos сообщила о мошеннических драйверах, которые использовались для пост-эксплуатации и развертывания программ-вымогателей.
Такой метод атаки называется Bring Your Own Vulnerable Driver или BYOVD – метод атаки, для проведения которой хакеры используют безобидный драйвер, который при этом содержит известные уязвимости. Поскольку такие драйверы имеют подпись, ОС позволяет их установить. После установки драйвера атакующие могут использовать соответствующий эксплойт – выполнить код или повысить права в системе.
» data-html=»true» data-original-title=»BYOVD»>BYOVD (Bring Your Own Vulnerable Driver). Этот метод позволяет злоумышленнику с привилегиями администратора легко обойти защиту ядра Windows. Вместо того, чтобы писать эксплойт с нуля, киберпреступник просто устанавливает сторонний драйвер с известными уязвимостями. Затем он использует эти уязвимости, чтобы получить мгновенный доступ к некоторым из наиболее защищенных областей Windows.
Также компания Mandiant — компания, специализирующаяся на информационной безопасности, цифровой криминалистике и реагированием на инциденты.
» data-html=»true» data-original-title=»Mandiant»>Mandiant обнаружила , что группировка UNC3944 использует загрузчик STONESTOP для установки вредоносного драйвера POORTRY, предназначенного для завершения процессов антивирусных программ и удаления файлов.
Злоумышленники используют скомпрометированные, украденные и незаконно приобретенные сертификаты подписи кода для подписи вредоносного ПО. Было подписано несколько отдельных семейств вредоносных программ, связанных с отдельными субъектами угроз. Более того, хакеры используют сервис для подписи кода «на заказ» (malicious driver signing as a service), при этом они получают артефакты вредоносного ПО, подписанные через процесс аттестации Microsoft от имени участников сервиса.
Утверждается, что STONESTOP и POORTRY использовались в атаках на секторы телекоммуникаций, бизнес-аутсорса, MSP-услуг, финансовых услуг, криптовалют и транспорта.
С тех пор Microsoft отозвала сертификаты для затронутых файлов и приостановила действие учетных записей продавцов партнеров, чтобы противостоять угрозам.