Elastic Security Labs 发现 Medusa 勒索软件组织使用名为 ABYSSWORKER 的恶意驱动程序，通过自带脆弱驱动程序（BYOVD）攻击禁用安全工具。该驱动程序伪装成合法的 CrowdStrike 驱动程序，利用被吊销的中国公司证书签名。ABYSSWORKER 能够终止或禁用 EDR 系统，并通过 I/O 控制代码执行文件操作、进程终止和禁用恶意软件等操作。此外，文章还提到了 Check Point 的 ZoneAlarm 防病毒软件的脆弱驱动程序被利用的事件，以及 RansomHub 勒索软件使用多功能后门 Betruger 的情况。这些发现揭示了勒索软件攻击中不断演进的攻击手段。

🛡️ ABYSSWORKER 恶意驱动程序被 Medusa 勒索软件用于禁用安全软件，该驱动程序模仿合法驱动程序，并使用被吊销的中国公司证书签名。

⚙️ ABYSSWORKER 驱动程序通过添加进程 ID 到全局受保护进程列表，并监听设备 I/O 控制请求来运行，提供了终止或禁用 EDR 系统的全面工具集。

🚨 I/O 控制代码包括文件操作、进程终止和禁用恶意软件等功能，其中 0x222400 代码可以移除通知回调，使安全产品失效。

⚠️ Check Point 的 ZoneAlarm 防病毒软件的脆弱驱动程序也被攻击者利用，通过远程桌面协议获得持久访问权限，导致敏感信息泄露。

🔑 RansomHub 勒索软件使用了多功能后门 Betruger，该后门具有截屏、键盘记录、网络扫描等功能，表明勒索软件攻击中自定义恶意软件的使用有所增加。

HackerNews 编译，转载请注明出处：

Elastic Security Labs 观察到，Medusa 勒索软件即服务（RaaS）操作背后的威胁参与者使用了一种名为 ABYSSWORKER 的恶意驱动程序，作为自带脆弱驱动程序（BYOVD）攻击的一部分，旨在禁用防恶意软件工具。

Elastic Security Labs 在报告中称，他们观察到一次 Medusa 勒索软件攻击，该攻击通过使用名为 HeartCrypt 的打包即服务（PaaS）进行打包的加载程序来传输加密器。

“该加载程序与一个被我们命名为 ABYSSWORKER 的中国厂商的被吊销证书签名的驱动程序一起部署，它会在受害机器上安装该驱动程序，然后利用它来攻击并使不同的 EDR 厂商失效，”该公司在报告中表示。

名为 “smuol.sys” 的驱动程序模仿了一个合法的 CrowdStrike Falcon 驱动程序（“CSAgent.sys”）。从 2024 年 8 月 8 日到 2025 年 2 月 25 日，VirusTotal 平台上已经检测到了数十个 ABYSSWORKER 文件。所有已识别的样本都使用了可能被盗且已被吊销的中国公司证书进行签名。

值得注意的是，这个能够杀死 EDR 的驱动程序在 2025 年 1 月被 ConnectWise 以 “nbwdv.sys” 的名字记录在案。

一旦被初始化和启动，ABYSSWORKER 被设计成将进程 ID 添加到全局受保护进程列表中，并监听传入的设备 I/O 控制请求，然后根据 I/O 控制代码将这些请求分派给相应的处理程序。

“这些处理程序涵盖了从文件操作到进程和驱动程序终止的一系列操作，提供了一个全面的工具集，可用于终止或永久禁用 EDR 系统，”Elastic 表示。

部分 I/O 控制代码列表如下：

– 0x222080 – 通过发送密码 “7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X” 启用驱动程序

– 0x2220c0 – 加载必要的内核 API

– 0x222184 – 复制文件

– 0x222180 – 删除文件

– 0x222408 – 按模块名称杀死系统线程

– 0x222400 – 按模块名称移除通知回调

– 0x2220c0 – 加载 API

– 0x222144 – 按进程 ID 终止进程

– 0x222140 – 按线程 ID 终止线程

– 0x222084 – 禁用恶意软件

– 0x222664 – 重启机器

其中，0x222400 尤为引人关注，它可以通过搜索并移除所有已注册的通知回调来使安全产品失明，这种方法也被其他 EDR 杀手工具（如 EDRSandBlast 和 RealBlindingEDR）采用。

这一发现紧随 Venak Security 的一份报告，该报告指出威胁参与者如何利用 Check Point 的 ZoneAlarm 防病毒软件相关的合法但脆弱的内核驱动程序，作为 BYOVD 攻击的一部分，以获得提升的权限并禁用 Windows 安全功能，如内存完整性。

攻击者随后滥用了这些提升的权限，通过远程桌面协议（RDP）连接到受感染的系统，从而获得持久的访问权限。这一漏洞随后已被 Check Point 修补。

“由于 vsdatant.sys 以高级内核权限运行，攻击者能够利用其漏洞，绕过安全防护和防病毒软件，从而完全控制受感染的机器，”该公司表示。

“一旦这些防御被绕过，攻击者就能完全访问底层系统，能够获取用户密码和其他存储的凭证等敏感信息。这些数据随后被窃取，为进一步的攻击打开了大门。”

Check Point 软件公司告诉《黑客新闻》，该脆弱的驱动程序已过时，且不再被积极使用，因此客户需要运行软件的最新版本。

“Venak Security 提到的脆弱驱动程序（vsdatant.sys，版本 14.1.32.0）已过时，不再在我们当前的产品中使用，”该公司表示。“运行 ZoneAlarm 或 Harmony Endpoint 最新版本的用户不会受到影响，因为这些版本包含更新的驱动程序，解决了此问题。”

“在彻底审查后，我们可以确认过去 8 年发布的版本均不受此问题影响。为了获得全面的保护，我们建议用户确保运行的是 Check Point ZoneAlarm 或 Check Point Harmony Endpoint 的最新版本，其中包含针对 BYOVD 风格攻击的增强防护措施。”

这一发展正值 RansomHub（又名 Greenbottle 和 Cyclops）勒索软件操作被归因于至少一个其附属机构使用的一种以前未被记录的多功能后门，代号为 Betruger。

该植入程序具有通常与勒索软件攻击前部署的恶意软件相关的功能，如截取屏幕、记录按键、网络扫描、权限提升、凭证转储以及将数据窃取到远程服务器。

“Betruger 的功能表明，它可能是为了在准备勒索软件攻击时减少在目标网络上投放的新工具数量而开发的，”Broadcom 旗下的赛门铁克表示，将其描述为与其他勒索软件集团为数据窃取开发的自定义工具有所不同。

“在勒索软件攻击中使用除加密有效载荷以外的自定义恶意软件相对不寻常。大多数攻击者依赖合法工具、利用现成资源以及公开可用的恶意软件，如 Mimikatz 和 Cobalt Strike。”

 

---

消息来源：The Hacker News；

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文