
Rockwell: Προτρέπει την αποσύνδεση ICS συσκευών από το διαδίκτυο
27 Μαΐου, 2024
Η κυβερνοεπίθεση CLOUD#REVERSER χρησιμοποιεί Cloud υπηρεσίες για διάδοση κακόβουλου λογισμικού
29 Μαΐου, 2024Μια νέα εκστρατεία cryptojacking, που παρακολουθείται ως REF4578 από την Elastic Security Labs και HIDDEN SHOVEL από την Antiy Labs, χρησιμοποιεί την τεχνική “Bring Your Own Vulnerable Driver” (BYOVD) για να απενεργοποιήσει τις λύσεις ασφαλείας και να αναπτύξει το XMRig miner.
Η επίθεση ξεκινά με ένα εκτελέσιμο αρχείο, το “Tiworker.exe”, το οποίο εκτελεί ένα σενάριο PowerShell για να κατεβάσει και να εκτελέσει πρόσθετα ωφέλιμα φορτία μεταμφιεσμένα ως εικόνες PNG. Οι βασικές μονάδες περιλαμβάνουν τα aswArPot.sys και IObitUnlockers.sys, τα οποία εκμεταλλεύονται ευάλωτους οδηγούς για να απενεργοποιήσουν τις διαδικασίες ασφαλείας. Η καμπάνια χρησιμοποιεί πολύπλοκες μεθόδους για διατήρηση, όπως η δημιουργία προγραμματισμένων εργασιών και η χρήση πολλαπλών εναλλακτικών μηχανισμών.
Το κύριο ωφέλιμο φορτίο, το GHOSTENGINE, εκμεταλλεύεται αυτά τα ευάλωτα driver προγράμματα για να απενεργοποιήσει το λογισμικό ασφαλείας, να αφαιρέσει παράγοντες προστασίας και να εκτελέσει εξόρυξη. Το κακόβουλο λογισμικό προσπαθεί επίσης να απενεργοποιήσει το Microsoft Defender, να διαγράψει τα αρχεία καταγραφής συμβάντων των Windows και να διαχειριστεί τον χώρο στο δίσκο για να εξασφαλίσει επιτυχείς λήψεις αρχείων. Αποθηκεύει τα αρχεία αυτά στον φάκελο C:\Windows\Fonts ή, εάν χρειαστεί, σε μια εναλλακτική τοποθεσία κάτω από το $RECYCLE.BIN\Fonts.
Επιπλέον, από τον Ιανουάριο του 2024, βρίσκεται σε εξέλιξη μια σχετική διαδικασία που εκμεταλλεύεται τα τρωτά σημεία του Log4j για την ανάπτυξη XMRig miners ή άλλου κακόβουλου λογισμικού. Αυτή η ευρείας κλίμακας επιχείρηση επηρεάζει κυρίως διακομιστές στην Κίνα, το Χονγκ Κονγκ και πολλές άλλες χώρες.
Οι cryptojacking επιθέσεις BYOVD εκμεταλλεύονται ευάλωτα driver προγράμματα για να αποκτήσουν προνομιακή πρόσβαση στο σύστημα και να παρακάμψουν μέτρα ασφαλείας. Παρά τη λίστα αποκλεισμού ευάλωτων driver προγραμμάτων της Microsoft, οι σπάνιες ενημερώσεις αφήνουν τα συστήματα εκτεθειμένα.

Προηγμένες μέθοδοι όπως το EDRaser, το οποίο χειραγωγεί λογισμικό ασφαλείας για να διαγράψει κρίσιμα αρχεία καταγραφής, και το HookChain, το οποίο αποφεύγει τον εντοπισμό ανακατευθύνοντας κλήσεις API, υπογραμμίζουν τις εξελισσόμενες τακτικές που χρησιμοποιούνται για την υπονόμευση της κυβερνοάμυνας. Αυτό τονίζει την ανάγκη για ισχυρά και ενημερωμένα μέτρα προστασίας.