Ssylka

Массовая эксплуатация уязвимости truesight.sys

В недавней кибератаке злоумышленники использовали уязвимый драйвер truesight.sys из набора продуктов Adlice, в частности наследную версию 2.0.2, входящую в состав RogueKiller Antirootkit Driver. Ошибка, допускающая произвольное завершение процессов, затрагивала все версии драйвера ниже 3.4.0.
Массовая эксплуатация уязвимости truesight.sys
Изображение носит иллюстративный характер

Атакующие создали свыше 2 500 уникальных вариантов truesight.sys, обнаруженных на платформе VirusTotal. При этом специальные изменения в структуре PE сохраняли действующую цифровую подпись, позволяя обходить такие защитные механизмы, как хеш-ориентированный список блокировки Microsoft Vulnerable Driver Blocklist и методы обнаружения от LOLDrivers.

Основная цель кампании заключалась в обходе средств обнаружения Endpoint Detection and Response (EDR) и антивирусного ПО с применением техники BYOVD. На первом этапе распространялись образцы, маскирующиеся под легитимные приложения, через мошеннические сайты с предложениями на товары класса «люкс» и фальшивые каналы в Telegram, которые выполняли функцию загрузчика и устанавливали наследную версию truesight.sys вместе с файлом, имитирующим распространённые форматы (PNG, JPG, GIF).

На втором этапе запускалась передача дополнительного вредоносного кода, включающего модуль-убийцу EDR и вариант удалённого доступа HiddenGh0st RAT, обеспечивающий полный контроль над заражённой системой. При необходимости модуль мог устанавливать truesight.sys напрямую, если драйвер ранее не был задействован.

Публичные PoC-эксплойты, такие как Darkside и TrueSightKiller, демонстрирующие возможность произвольного завершения процессов через truesight.sys, доступны с ноября 2023 года. Дополнительную опасность представляет обнаруженный в марте 2024 года загрузчик DBatLoader от SonicWall, использующий тот же драйвер для деактивации защитных средств перед доставкой Remcos RAT.

Обвинения в авторстве атаки указывают на группу Silver Fox APT, аргументированное совпадением вектора заражения, схожестью исходных вредоносных образцов и характерными шаблонами предыдущих атак. Около 75% пострадавших объектов расположены в Китае, оставшиеся 25% — преимущественно в странах Азии, особенно в Сингапуре и Тайване.

Техника BYOVD, основанная на использовании поддельного, но подписанного драйвера, позволила злоумышленникам завершать процессы, связанные с защитными сервисами, обходя методы обнаружения от Microsoft и LOLDrivers. Такой подход обеспечивал незаметность атак в течение нескольких месяцев и позволял сохранять эффективность даже после модификации драйвера.

Финальной нагрузкой стала внедрение HiddenGh0st RAT, дающего злоумышленникам возможность удалённого контроля, кражи данных и детального мониторинга системы. С 17 декабря 2024 года Microsoft обновила свой список блокировки драйверов, включив в него уязвимый truesight.sys, что значительно снизило риск дальнейшей эксплуатации данного вектора атаки.


Новое на сайте

15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы 15279Роберт Лиллис: извлеченные уроки для экономически эффективных исследований дальнего... 15278Почему супермен до сих пор остаётся символом надежды и морали? 15277Райан Гослинг в роли нового героя «Звёздных войн»: что известно о фильме Star Wars:... 15276Почему экваториальная Гвинея остаётся одной из самых закрытых и жестоких диктатур мира? 15275Почему морские слизни становятся ярче под солнцем? 15274Глен Вейль | Можем ли мы использовать ИИ для построения более справедливого общества? 15273Лириды: где и как увидеть древний звездопад в этом апреле? 15272Сдержит ли налог на однодневных туристов в Венеции наплыв гостей?