Nhóm tấn công đứng sau Medusa ransomware đã triển khai driver độc hại ABYSSWORKER trong một cuộc tấn công Bring Your Own Vulnerable Driver (BYOVD) nhằm vô hiệu hóa các giải pháp bảo mật EDR. Trình điều khiển này giả mạo driver hợp lệ của CrowdStrike Falcon, khai thác certificate bị đánh cắp để vượt qua cơ chế bảo vệ, đồng thời có khả năng xóa tiến trình bảo mật, vô hiệu hóa callback giám sát và khởi động lại máy.
Nhóm tấn công đứng sau Medusa ransomware đã sử dụng một trình điều khiển độc hại có tên ABYSSWORKER để thực hiện cuộc tấn công theo phương thức Bring Your Own Vulnerable Driver (BYOVD). Mục tiêu của phương thức này là vô hiệu hóa các công cụ chống malware, giúp ransomware dễ dàng lây nhiễm vào hệ thống.
Trong một cuộc tấn công của Medusa được Elastic Security Labs ghi nhận, mã độc đã được tải xuống thông qua HeartCrypt, một dịch vụ gói mã độc (Packer-as-a-Service – PaaS). Đồng thời, nhóm tấn công đã triển khai một trình điều khiển có certificate bị thu hồi từ một nhà cung cấp Trung Quốc, được đặt tên là ABYSSWORKER. Trình điều khiển này giả mạo một driver hợp lệ của CrowdStrike Falcon để tấn công và làm vô hiệu hóa các giải pháp bảo mật Endpoint Detection and Response (EDR).
Trình điều khiển này có khả năng:
-
Vô hiệu hóa phần mềm bảo mật bằng cách xóa các callback giám sát.
-
Chặn hoặc xóa các tiến trình của EDR.
-
Xóa tệp tin, tải API kernel cần thiết, và khởi động lại máy.
Một mã điều khiển đặc biệt (I/O control code 0x222400) được sử dụng để vô hiệu hóa các cơ chế bảo vệ của hệ thống, tương tự các công cụ phá EDR khác như EDRSandBlast và RealBlindingEDR.
Những phát hiện này đến sau một báo cáo của Venak Security, trong đó tiết lộ rằng các tác nhân đe dọa đang lợi dụng một kernel driver hợp pháp nhưng lỗi thời từ phần mềm Check Point’s ZoneAlarm để thực hiện BYOVD attack. Mục tiêu của cuộc tấn công là giành quyền đặc quyền cao nhất và vô hiệu hóa các tính năng bảo mật của Windows như Memory Integrity.
Sau khi có quyền truy cập đặc quyền, kẻ tấn công có thể thiết lập kết nối Remote Desktop Protocol (RDP) đến hệ thống bị nhiễm, cho phép duy trì quyền truy cập và đánh cắp thông tin và dữ liệu nhạy cảm. Check Point đã khuyến cáo người dùng cập nhật lên phiên bản mới nhất để tránh nguy cơ tấn công.
