新しいマルウェア攻撃、セキュリティ研究者は、コンピュータ上のアンチウイルスを渡すことができると呼んでいます

ジャカルタ - アンチウイルスは通常、マルウェアが潜んでいるときに信頼できる保護ツールですが、サイバー脅威アクターがソフトウェアを無効にする方法を見つけたことが判明しました。

サイバーセキュリティ企業ソフォスの調査によると、ウイルス対策ソフトウェアを無効にする方法 (Bring Your Own Vulnerable Driver とも呼ばれます) がどのように機能し、世界中の企業にどのような影響を与えるかが示されています。

調査によると、BlackByteランサムウェアグループは、この攻撃の背後にある首謀者であることが判明しました。これには、CVE-2019-16098として追跡される特権エスカレーションとコード実行の欠陥に対して脆弱なMSI AfterburnerドライババージョンRTCore64.sysおよびRTCore32.sysが含まれます。

AfterburnerはGPU用のオーバークロックユーティリティで、ユーザーはハードウェアをより詳細に制御できます。抜け穴を考えると、BlackByteはウイルス対策などのセキュリティ製品を実行する必要がある1,000以上のドライバを無効にするのに役立ちます。

「セキュリティ製品を迂回するために、正規のドライバーを悪用し続ける可能性があります」とソフォスはブログ記事で説明しています。

この新しい攻撃方法から保護するため、ソフォスでは、IT 管理者にこれらのカスタム MSI Afterburner RTCore64.sys および RTCore32.sys ドライバをアクティブなブロックリストに追加し、エンドポイントで動作しないようにすることをお勧めします。

それとは別に、デバイスにインストールされているすべてのドライバーを監視し、ハードウェアが一致しない悪意のあるインジェクションについてエンドポイントを頻繁に監査する必要があります。

ソフォスは TechRadar (10 月 10 日月曜日)を引用して、BlackByte がこの攻撃でセキュリティ研究者からの分析を回避するために使用した方法のいくつか (ターゲットシステムで実行されているデバッガの兆候を探して停止するなど) も強調しました。

BlackByteはまた、Avast、Sandboxie、Windows DbgHelp Library、およびComodo Internet Securityによって使用されるダイナミックリンクライブラリ(DLL)フックのリストをチェックし、見つかった場合は実行を停止します。

あなた自身の脆弱なドライバを持って来ることは新しい方法かもしれませんが、その人気は急速に高まっています。今週初め、北朝鮮が支援する有名な脅威アクター、Lazarus Groupも、Dellブランドのファームウェアドライバに対して同じ手法を使用したことが判明しました。

スピアフィッシングキャンペーンは2021年秋に開始され、Amazonから偽の仕事を提供することで、オランダの航空宇宙産業の従業員とベルギーの政治ジャーナリストを含むことが確認されました。

キャンペーンに関するレポートを公開したサイバーセキュリティ研究者ESETによると、主な目的はスパイ活動とデータ窃盗です。彼らは基本的に古くて脆弱なDellドライバである偽の職務記述書pdfを共有します。

このテクニックを非常に危険なものにしているのは、このドライバが無害に見えるため、アンチウイルスによって検出されないことです。