В недавней кибератаке злоумышленники использовали уязвимый драйвер truesight.sys из набора продуктов Adlice, в частности наследную версию 2.0.2, входящую в состав RogueKiller Antirootkit Driver. Ошибка, допускающая произвольное завершение процессов, затрагивала все версии драйвера ниже 3.4.0.
Атакующие создали свыше 2 500 уникальных вариантов truesight.sys, обнаруженных на платформе VirusTotal. При этом специальные изменения в структуре PE сохраняли действующую цифровую подпись, позволяя обходить такие защитные механизмы, как хеш-ориентированный список блокировки Microsoft Vulnerable Driver Blocklist и методы обнаружения от LOLDrivers.
Основная цель кампании заключалась в обходе средств обнаружения Endpoint Detection and Response (EDR) и антивирусного ПО с применением техники BYOVD. На первом этапе распространялись образцы, маскирующиеся под легитимные приложения, через мошеннические сайты с предложениями на товары класса «люкс» и фальшивые каналы в Telegram, которые выполняли функцию загрузчика и устанавливали наследную версию truesight.sys вместе с файлом, имитирующим распространённые форматы (PNG, JPG, GIF).
На втором этапе запускалась передача дополнительного вредоносного кода, включающего модуль-убийцу EDR и вариант удалённого доступа HiddenGh0st RAT, обеспечивающий полный контроль над заражённой системой. При необходимости модуль мог устанавливать truesight.sys напрямую, если драйвер ранее не был задействован.
Публичные PoC-эксплойты, такие как Darkside и TrueSightKiller, демонстрирующие возможность произвольного завершения процессов через truesight.sys, доступны с ноября 2023 года. Дополнительную опасность представляет обнаруженный в марте 2024 года загрузчик DBatLoader от SonicWall, использующий тот же драйвер для деактивации защитных средств перед доставкой Remcos RAT.
Обвинения в авторстве атаки указывают на группу Silver Fox APT, аргументированное совпадением вектора заражения, схожестью исходных вредоносных образцов и характерными шаблонами предыдущих атак. Около 75% пострадавших объектов расположены в Китае, оставшиеся 25% — преимущественно в странах Азии, особенно в Сингапуре и Тайване.
Техника BYOVD, основанная на использовании поддельного, но подписанного драйвера, позволила злоумышленникам завершать процессы, связанные с защитными сервисами, обходя методы обнаружения от Microsoft и LOLDrivers. Такой подход обеспечивал незаметность атак в течение нескольких месяцев и позволял сохранять эффективность даже после модификации драйвера.
Финальной нагрузкой стала внедрение HiddenGh0st RAT, дающего злоумышленникам возможность удалённого контроля, кражи данных и детального мониторинга системы. С 17 декабря 2024 года Microsoft обновила свой список блокировки драйверов, включив в него уязвимый truesight.sys, что значительно снизило риск дальнейшей эксплуатации данного вектора атаки.
Изображение носит иллюстративный характер
Атакующие создали свыше 2 500 уникальных вариантов truesight.sys, обнаруженных на платформе VirusTotal. При этом специальные изменения в структуре PE сохраняли действующую цифровую подпись, позволяя обходить такие защитные механизмы, как хеш-ориентированный список блокировки Microsoft Vulnerable Driver Blocklist и методы обнаружения от LOLDrivers.
Основная цель кампании заключалась в обходе средств обнаружения Endpoint Detection and Response (EDR) и антивирусного ПО с применением техники BYOVD. На первом этапе распространялись образцы, маскирующиеся под легитимные приложения, через мошеннические сайты с предложениями на товары класса «люкс» и фальшивые каналы в Telegram, которые выполняли функцию загрузчика и устанавливали наследную версию truesight.sys вместе с файлом, имитирующим распространённые форматы (PNG, JPG, GIF).
На втором этапе запускалась передача дополнительного вредоносного кода, включающего модуль-убийцу EDR и вариант удалённого доступа HiddenGh0st RAT, обеспечивающий полный контроль над заражённой системой. При необходимости модуль мог устанавливать truesight.sys напрямую, если драйвер ранее не был задействован.
Публичные PoC-эксплойты, такие как Darkside и TrueSightKiller, демонстрирующие возможность произвольного завершения процессов через truesight.sys, доступны с ноября 2023 года. Дополнительную опасность представляет обнаруженный в марте 2024 года загрузчик DBatLoader от SonicWall, использующий тот же драйвер для деактивации защитных средств перед доставкой Remcos RAT.
Обвинения в авторстве атаки указывают на группу Silver Fox APT, аргументированное совпадением вектора заражения, схожестью исходных вредоносных образцов и характерными шаблонами предыдущих атак. Около 75% пострадавших объектов расположены в Китае, оставшиеся 25% — преимущественно в странах Азии, особенно в Сингапуре и Тайване.
Техника BYOVD, основанная на использовании поддельного, но подписанного драйвера, позволила злоумышленникам завершать процессы, связанные с защитными сервисами, обходя методы обнаружения от Microsoft и LOLDrivers. Такой подход обеспечивал незаметность атак в течение нескольких месяцев и позволял сохранять эффективность даже после модификации драйвера.
Финальной нагрузкой стала внедрение HiddenGh0st RAT, дающего злоумышленникам возможность удалённого контроля, кражи данных и детального мониторинга системы. С 17 декабря 2024 года Microsoft обновила свой список блокировки драйверов, включив в него уязвимый truesight.sys, что значительно снизило риск дальнейшей эксплуатации данного вектора атаки.
