В новых атаках Medusa используют вредоносный драйвер, который обходит защиту EDR. Этот драйвер имеет подпись украденного сертификата. Ученые из Elastic Security Labs назвали его ABYSSWORKER.
Новый вирус (smuol.sys) распространяется с помощью атаки BYOVD. Он устанавливается с загрузчиком, который защищен HeartCrypt, и использует ABYSSWORKER для отключения EDR или других средств защиты.
Вредоносный драйвер представляет себя, как легальный драйвер CrowdStrike Falcon, чтобы не быть обнаруженным. Аналитики обнаружили десятки артефактов ABYSSWORKER на VirusTotal за период с 8 августа 2024 года по 25 февраля 2025 года. Все образцы были подписаны украденными сертификатами компаний из Китая, которые позже были отозваны.
При запуске фейковый CSAgent.sys добавляет ID своего процесса в список защищенных и начинает прослушивать запросы на управление вводом-выводом.
Ранее были случаи атак Medusa, использующих вредоносные драйверы для обхода EDR. Операторы другого вредоносного программного обеспечения, Akira, обнаружили простой способ обойти защитные решения, найдя уязвимые IoT-устройства в целевой сети.
© KiberSec.ru – 03.04.2025, обновлено 03.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
