新的恶意软件攻击，安全研究人员称它可以在计算机上传递防病毒软件

雅加达 - 当恶意软件潜伏时，防病毒通常是一种可靠的保护工具，但事实证明，网络威胁行为者已经找到了禁用该软件的方法。

网络安全公司Sophos的研究表明，禁用防病毒软件的方法（也称为“自带易受攻击的驱动程序”）的工作原理以及它对全球企业的影响。

根据这项研究，BlackByte勒索软件组织被发现是这次攻击背后的策划者。它们涉及 MSI 加力燃烧室驱动程序版本 RTCore64.sys以及 RTCore32.sys这些版本容易受到权限提升和代码执行缺陷的影响，这些缺陷被跟踪为 CVE-2019-16098。

加力燃烧室是GPU的超频实用程序，使用户可以更好地控制硬件。鉴于漏洞，它可以帮助BlackByte禁用防病毒等安全产品需要运行的1，000多个驱动程序。

“他们很可能会继续滥用合法驱动程序来绕过安全产品，”Sophos在一篇博客文章中解释道。

为了防止这种新的攻击方法，Sophos 建议 IT 管理员将这些自定义 MSI 加力燃烧室 RTCore64.sys 和 RTCore32.sys驱动程序添加到活动阻止列表中，并确保它们不适用于端点。

除此之外，他们还应该密切关注设备上安装的所有驱动程序，并经常审核端点，以防在没有硬件匹配的情况下进行恶意注入。

Sophos还强调了BlackByte在这次攻击中使用的一些方法来逃避安全研究人员的分析，例如寻找在目标系统上运行的调试器的迹象并停止。

黑字节还会检查阿瓦斯特、沙盒、Windows DbgHelp 库和科摩多网络安全特警使用的动态链接库 （DLL） 钩子列表，如果找到，甚至可以停止执行。

带上自己的易受攻击的司机可能是一种新方法，但它的受欢迎程度正在迅速增加。本周早些时候，一位著名的朝鲜赞助的威胁行为者Lazarus集团也被发现对DELL品牌的固件驱动程序使用了相同的技术。

鱼叉式网络钓鱼活动于2021年秋季开始，确认的目标包括荷兰的航空航天员工和比利时的政治记者，他们通过提供亚马逊的假工作。

根据网络安全研究人员ESET发布有关该活动的报告，主要目标是间谍和数据盗窃。他们将分享虚假的职位描述pdf，这些PDF基本上是旧的和脆弱的戴尔驱动程序。

使这种技术如此危险的原因是，此驱动程序看起来无害，因此不会被防病毒软件检测到。