Хакеры обходят EDR из-за уязвимых драйверов
Специалисты по информационной безопасности сообщили об обнаружении вредоносной киберпреступной кампании, направленной на майнинг криптовалютных активов. В рамках подобных кибератак хакеры эксплуатируют уязвимые драйверы для отключения продуктов безопасности и развёртывания вредоносного ПО для майнинга XMRig, сообщает Bleeping Computer.
Специалисты по информационной безопасности из Elastic Security Labs и Antiy, которые обнаружили эту киберпреступную кампанию, заявляют, что выявленные кибератаки отличаются невероятной сложностью. При этом в своём отчёте, который был опубликован несколько дней назад, эксперты не связывают эту киберпреступную деятельность с какой-либо крупной известной хакерской группировкой, а также не раскрывают информацию о пострадавших компаниях.
Аналитики отмечают, что на данный момент до конца не ясно, как изначально происходит взлом серверов, но атака хакеров начинается с выполнения файла с именем «Tiworker.exe», который маскируется под легитимный файл Windows.
Этот исполняемый файл является начальной промежуточной полезной нагрузкой для GhostEngine — сценария PowerShell, который загружает различные модули для выполнения различных действий на заражённом устройстве.
При запуске Tiworker.exe он загружает сценарий PowerShell с именем get.png с сервера управления и контроля (C2) злоумышленника, который действует как основной загрузчик GhostEngine.
Этот сценарий PowerShell загружает дополнительные модули и их конфигурации, отключает Защитник Windows, включает удалённые службы и очищает различные журналы событий Windows.
Затем get.png проверяет, что в системе имеется как минимум 10 МБ свободного места, что необходимо для дальнейшего заражения, и создаёт запланированные задачи с именами «OneDriveCloudSync», «DefaultBrowserUpdate» и «OneDriveCloudBackup» для сохранения.
Сценарий PowerShell теперь загрузит и запустит исполняемый файл с именем smartsscreen.exe, который выступает в качестве основной полезной нагрузки GhostEngine. Это вредоносное ПО отвечает за завершение работы и удаление программного обеспечения EDR, а также за загрузку и запуск XMRig для добычи криптовалюты.
Чтобы завершить работу программного обеспечения EDR, GhostEngine загружает два уязвимых драйвера ядра: aswArPots.sys (драйвер Avast), который используется для завершения процессов EDR, и IObitUnlockers.sys (драйвер Iobit) для удаления связанного исполняемого файла.
Чтобы открыть сайт Кракен, вам потребуется использовать Tor браузер, который обеспечивает анонимное и безопасное соединение. Этот браузер скрывает ваше местоположение и позволяет обходить блокировки, делая доступ к Кракену максимально защищённым. Наш сервис предоставляет актуальные ссылки на сайт, которые проходят проверку и гарантируют безопасность при подключении.
Важно использовать только проверенные ссылки, чтобы избежать риска попасть на фишинговые сайты. Установите Tor, получите рабочую ссылку с нашего ресурса, вставьте её в адресную строку браузера и подключитесь к платформе. Это быстрый и безопасный способ получить доступ к функционалу маркетплейса Кракен без угроз для ваших данных.
