Целевые хакерские кибератаки зафиксировали специалисты Mandiant, SentinelOne, а также Sophos. Чтобы отключить систему защиты атакуемых устройств, были задействованы вирусные драйвера, имеющие настоящую подпись компании Microsoft. Иногда после того, как хакеры проникали в сеть, они заражали ее одним из шифровальщиков. Это мог быть или Hive или Cuba.

После того, как об этом узнали в корпорации, взломанные сертификаты были отозваны, действие некоторых аккаунтов специалистов, которые были открыты в формате партнерской программы, приостановлено, а блок-лист обновлен (речь идет о Microsoft Defender). Пользователям советуют установить обновления накопительного характера для Windows, выпущенные в этом месяце, и убедиться в том, что те антивирусные программы и EDR, которые они используют, работают и обновлены.

В ходе изучения атак выявили новый набор инструментов. В него входят драйвер POORTRY и загрузчик под названием STONESTOP. Загрузчик является приложением пользовательского режима, пытающимся деактивировать защиту из списка. Так как система кибербезопасности, как правило, ограждена от пользовательского вторжения, внедряется POORTRY, естественно подписанный. Он дает возможность повысить уровень привилегированности.

Специалисты Sophos обнаружили, что указанный набор инструментов применяется многими хакерами. Одну из кибератак смогли остановить до того, как злоумышленники развернули финишную полезную нагрузку. Специалисты считают, что киберпреступники хотели заразить сеть шифровальщиком под названием Cuba.

В SentinelOne выявили набор инструментов в кибератаках, направленных на бизнес, финансистов, провайдеров связи и так далее. В одном из инцидентов киберпреступники добрались до сети медицинского учреждения и хотели заразить ее Hive.

Специалисты Mandiant говорят, что данный набор инструментов был задействован в кибератаках группировки UNC3944, которая с конца весны занимается SIM-свопингом. Эти атаки осуществлялись в августе. Как правило, эти злоумышленники взламывают сеть, благодаря сведениям учеток, похищенных при помощи смишинга.

В момент загрузки в систему драйвера ядра он становится наиболее привилегированным. Таким образом хакер может делать то, что для простого человека недоступно, например, заканчивать процессы ИБ-софта, удалять файлы с защитой и прочее.

К указанным драйверам для Windows 10 и более новых версий предъявляют еще одно требование. Они должны иметь цифровую подпись, которая предоставляется согласно WHDP. Начиная с середины осени 2022 г., драйвера, подписанные некорректно, блокируются. В связи с этим немало ИБ-площадок доверяют по умолчанию подписанным корпорацией кодам. Естественно, киберпреступники используют это в своих целях.