Категорія: Новини

Група шахраїв-шифрувальників публікує дані, вкрадені у Cisco

Хакерська група Yanluowang опублікувала вкрадені у Cisco дані ще у травні 2022 року. Представники Cisco визнали, що витік даних мав місце, але все ж таки наполягають на тому, що інцидент ніяк не вплинув на бізнес компанії.

Нагадаю, що минулого місяця представники Cisco підтвердили, що ще у травні корпоративна мережа компанії була зламана групою шифрувальників Yanluowang. Пізніше зловмисники намагалися вимагати у Cisco гроші, інакше погрожуючи опублікувати вкрадені під час атаки дані у відкритому доступі.

Тоді в компанії наголосили, що хакери взагалі нічого серйозного не викрали, їм вдалося лише викрасти не конфіденційні дані з папки Box, пов’язаної зі зламаним обліковим записом співробітника.

Самі хакери зв’язалися з Bleeping Computer та повідомили журналістам, що вкрали у компанії 2,75 ГБ даних (приблизно 3100 файлів), включаючи вихідні коди та секретні документи. За словами журналістів, багато файлів являли собою угоди про нерозголошення, дампи даних та технічну документацію.

Наприклад, зловмисники надали виданню відредаговану версію угоди та показали скріншот адміністративної консолі VMware vCenter на cisco.com. На знімку екрана показані численні віртуальні машини, у тому числі одна під назвою GitLab, що використовується Cisco CSIRT.

При цьому Cisco продовжувала заявляти, що компанія не має доказів того, що первинний код був вкрадений. Нагадаю, ми також повідомляли, що зламування Cisco пов’язане з російськомовними хакерами з Evil Corp.

Як тепер повідомляє Bleeping Computer, члени Yanluowang почали зливати вкрадені дані до Даркнету. На цьому фоні Cisco остаточно підтвердила витік даних, але компанія продовжує наполягати на тому, що цей інцидент ніяк не вплинув на бізнес і витік інформації не змінює початкової оцінки інциденту.

11 вересня 2022 року зловмисники, які раніше опублікували в даркнеті список імен файлів, пов’язаних з інцидентом, розмістили фактичний вміст тих самих файлів у тому ж місці в даркнеті. Вміст цих файлів відповідає тому, що ми ідентифікували та розкрили. Наш попередній аналіз інциденту залишається незмінним — ми, як і раніше, не бачимо жодного впливу на наш бізнес, включаючи продукти або послуги Cisco, конфіденційні дані клієнтів, конфіденційну інформацію про співробітників, інтелектуальну власність чи процеси ланцюжка постачання.” – сказав Cisco.

Зазначу, що наприкінці серпня аналітики з кібербезпеки з eSentire опублікували звіт, в якому надали докази можливого зв’язку групи Yanluowang з відомим російськомовним хак-гуртом Evil Corp (UNC2165).

Злам Cisco пов’язаний із російськомовними хакерами з Evil Corp

Експерти eSentire встановили, що інфраструктура, використана для злому Cisco у травні 2022 року, місяцем раніше використовувалася для компрометації не названої компанії, що займається HR рішеннями.

Дослідники вважають, що за цими інцидентами стоять зловмисники, пов’язані з Evil Corp. Нагадаю, ми також говорили, що Cisco не буде виправляти вразливість RCE у старих маршрутизаторах RV.

У серпні 2022 року представники Cisco підтвердили, що у травні корпоративна мережа компанії була зламана групою шифрувальників Yanluowang. Пізніше зловмисники намагалися вимагати у Cisco гроші, інакше погрожуючи опублікувати вкрадені під час атаки дані у відкритому доступі. Тоді в компанії наголосили, що хакерам вдалося викрасти лише неконфіденційні дані з папки Box, пов’язаної зі зламаним обліковим записом співробітника.

Аналітики eSentire тепер кажуть, що атака могла бути справою рук злочинця, відомого як mx1r. Вважається, що він є учасником однієї з «філій» відомого російськомовного угрупування Evil Corp (відома ще як UNC2165).

Дослідники пишуть, що доступ до мережі жертв спочатку здійснювався з використанням вкрадених облікових даних VPN, а потім зловмисники використовували готові інструменти для подальшого просування в мережі.

За допомогою Cobalt Strike зловмисники змогли закріпитись у системі. Вони діяли швидко з моменту початкового доступу до того моменту, коли їм вдалося зареєструвати власну віртуальну машину в VPN-мережі жертви.” – кажуть експерти.

Дослідники підозрюють зв’язок mx1r з Evil Corp через збіг ряду тактик зловмисників, у тому числі через організацію атаки kerberoasting на службу Active Directory та використання RDP для просування в мережі компанії.

При цьому, незважаючи на ці зв’язки, інфраструктура HiveStrike, що використовується для організації атаки, в цілому відповідає інфраструктурі одного з «партнерів» групи Conti, яка раніше поширювала шифрувальники Hive і Yanluowang. Ці хакери зрештою опублікували дані, вкрадені у Cisco, на своєму даркнеті.

Самі представники Cisco писали, що атака, швидше за все, здійснена зловмисником, який раніше був брокером первинного доступу і мав зв’язки зі злочинним угрупуванням UNC2447, групою Lapsus$ та операторами програми-вимагача Yanluowang.

Ці невідповідності, схоже, не турбують аналітиків eSentire:

Здається малоймовірним (але не неможливим), що Conti надає свою інфраструктуру Evil Corp. Більш правдоподібно те, що партнер Evil Corp/UNC2165 може працювати з однією з нових дочірніх компаній Conti. Також можливо, що початковий доступ до мережі компанії був наданий партнером Evil Corp, але в кінцевому підсумку був проданий операторам Hive і пов’язаним з ними особам.”

Нову шкідливу програму Shikitega дуже складно виявити та усунути

Дослідники AT&T виявили нову приховану шкідливу програму для Linux під назвою Shikitega, яка націлена на комп’ютери та пристрої IoT та використовує вразливість підвищення привілеїв для запуску майнера криптовалюти Monero на заражених пристроях.

Shikitega може обійти антивірусне програмне забезпечення за допомогою поліморфного кодувальника, який унеможливлює статичне виявлення на основі сигнатур.

Нагадаю, ми також говорили про те, що новий Linux Malware Lightning Framework встановлює бекдори та руткіти, а також про те, що експерти з інформаційної безпеки розповіли про симбіот шкідливого програмного забезпечення для Linux, який практично неможливо виявити.

Згідно зі звітом AT&T, шкідливе ПЗ використовує багатоступінчастий ланцюжок зараження, в якому кожен рівень доставляє всього кілька сотень байтів, активуючи простий модуль, а потім переходить до наступного. Тобто Shikitega поступово доставляє своє шкідливе навантаження, при цьому кожен крок розкриває лише частину загального шкідливого кода.

Зараження починається з 370-байтового ELF-файлу, що містить закодований шелл-код. Кодування виконується за допомогою схеми кодування корисного навантаження Shikata Ga Nai. Використовуючи кодувальник, шкідливе програмне забезпечення проходить через кілька циклів декодування, де один цикл декодує наступний рівень, поки не буде декодований і виконаний остаточний корисний шелл-код.

Після завершення розшифровки виконується шелл-код, який зв’язується з C&C-сервером і отримує додаткові команди, що зберігаються та виконуються безпосередньо з пам’яті.

Одна команда завантажує та запускає Mettle, невелике портативне корисне навантаження Metasploit Meterpreter, яке дає зловмиснику додаткові можливості віддаленого керування та виконання коду на хості. Mettle витягує файл ELF ще меншого розміру, який використовує CVE-2021-4034 (PwnKit) та CVE-2021-3493 для підвищення привілеїв для рутування та завантаження криптомайнера.

Стійкість криптомайнера досягається за рахунок видалення всіх завантажених файлів, щоб зменшити можливість виявлення.

Крім того, щоб уникнути виявлення оператори Shikitega використовують законні послуги хмарного хостингу для розміщення своєї інфраструктури C&C. Це наражає операторів на ризик бути виявленими правоохоронними органами, але забезпечує кращу непомітність у скомпрометованих системах.

Команда AT&T рекомендувала адміністраторам застосовувати доступні оновлення безпеки, використовувати EDR на всіх кінцевих точках та регулярно створювати резервні копії важливих даних.

Ботнет MooBot атакує маршрутизатори D-Link

Експерти виявили, що ботнет MooBot, побудований на шкідливому програмному забезпеченні Mirai IoT, атакує вразливі маршрутизатори D-Link, використовуючи проти них комбінацію старих і нових експлойтів.

Нагадаю, що ми також говорили про троянів ZuoRAT, які зламують маршрутизатори Asus, Cisco, DrayTek і NETGEAR, а також про те, що фахівці з інформаційної безпеки розкрили подробиці про п’ять вразливостей у маршрутизаторах D-Link.

Про діяльність MooBot фахівці з інформаційної безпеки давно не писали: останнє дослідження датоване груднем минулого року, коли MooBot скористався вразливістю CVE-2021-36260 у камерах Hikvision, заразивши ці пристрої та використовуючи їх для DDoS-атак.

Як тепер з’ясувалося, MooBot нещодавно змінив “сферу діяльності”, що в цілому характерно для ботнетів, які постійно шукають нові групи вразливих пристроїв, які вони можуть захопити. Отже, згідно з нещодавнім звітом Palo Alto Network, шкідливе програмне забезпечення в даний час націлене на такі критичні вразливості в пристроях D-Link:

  1. CVE-2015-2051: проблема із виконанням команди D-Link HNAP SOAPAction.
  2. CVE-2018-6530: RCE в інтерфейсі D-Link SOAP;
  3. CVE-2022-26258: віддалене виконання команд на пристроях D-Link;
  4. CVE-2022-28958: віддалене виконання команд на пристроях D-Link.

Варто зазначити, що виробник давно випускав патчі для усунення цих проблем, оскільки дві вразливості взагалі субсидували в 2015 і 2018 роках. Однак не всі користувачі ще застосували ці патчі, особливо останні два, які вийшли у березні та травні цього року.

Оператори шкідливих програм використовують вразливість для віддаленого виконання коду на небезпечних пристроях і запускають шкідливий бінарний файл за допомогою довільної команди.

Потім захоплені маршрутизатори використовуються для проведення DDoS-атаки на різні цілі, в залежності від того, чого хочуть отримати оператори MooBot. Як правило, зловмисники видають потужність свого ботнета в оренду іншим злочинцям, тому від нападу MooBot страждають самі різні сайти та сервіси.

Цікаво, що адреси C&C, зазначені у звіті Palo Alto Network, відрізняються від адрес у грудневому звіті Fortinet, що вказує на оновлення інфраструктури хакерів.

Експерти пишуть, що користувачі зламаних пристроїв D-Link можуть помітити падіння швидкості інтернету, зависання, перегрівання роутера або зміни конфігурації DNS. Найкращий спосіб захиститися від MooBot – застосувати всі доступні оновлення прошивки.

Розробник трояна CodeRAT опублікував первинний програмний код

Первинний програмний код трояна віддаленого доступу CodeRAT опубліковано на GitHub. Це сталося після того, як дослідники безпеки встановили розробника шкідливого програмного забезпечення та закликали його до відповідальності через атаки, в яких використовувався цей «інструмент».

Експерти SafeBreach кажуть, що атаки з використанням CodeRAT будувалися наступним чином: кампанія, судячи з усього, була націлена на розробників з Ірану, які говорять на фарсі. Вони були атаковані документом Word, що містить експлойт DDE.

Цей експлойт завантажив та запустив CodeRAT із репозиторію GitHub зловмисника, надавши віддаленому оператору широкий спектр можливостей після зараження. Зокрема, CodeRAT підтримує близько 50 команд, у тому числі створення знімків екрану, копіювання вмісту буфера обміну, отримання списку запущених процесів, завершення процесів, перевірку використання GPU, завантаження, завантаження та видалення файлів, виконання програм тощо.

Нагадаю, ми також писали про те, що троян ZuoRAT зламує маршрутизатори Asus, Cisco, DrayTek та NETGEAR, а також про те, що троян Qbot скористався відомою вразливістю Follina.

Шкідливість CodeRAT також має широкі можливості для моніторингу веб-пошти, документів Microsoft Office, баз даних, соціальних мереж, IDE для Windows Android, а також порносайтів та окремих сайтів (наприклад, іранської електронної комерції компанії Digikala або веб-месенджера Eitaa) на фарсі) . Крім того, шкідлива програма шпигунить за вікнами таких інструментів, як Visual Studio, Python, PhpStorm та Verilog.

Такий моніторинг, особливо стеження за порносайтами, активністю в соціальних мережах та використання інструментів анонімного перегляду, змушує нас вважати, що CodeRAT – це розвідувальний інструмент, який використовується зловмисниками, пов’язаними з урядом. Зазвичай це спостерігається в атаках, за якими стоїть ісламський режим Ірану, який стежить за незаконними та аморальними діями своїх громадян.” – кажуть експерти.

Для зв’язку зі своїм носієм та крадіжками зібраних даних CodeRAT використовує механізм на основі Telegram, який спирається на загальнодоступний API завантаження анонімних файлів (замість традиційної інфраструктури C&C).

HTTP Debugger used as a proxy for Telegram communication (SafeBreach)

Хоча ця кампанія була раптово перервана, дослідники змогли відстежити розробника шкідливого програмного забезпечення під ніком Mr Moded. Коли SafeBreach зв’язався з розробником CodeRAT, він спочатку не заперечував їх звинувачення, а натомість попросив експертів надати додаткову інформацію.

Після того, як експерти надали пану Модеду докази, що пов’язують його з CodeRAT, він не розгубився і просто розмістив первинний код шкідливого програмного забезпечення на своєму GitHub. Дослідники попереджають, що тепер, з виходом вихідного коду, CodeRAT може набути більш широкого поширення.

Шкідливе програмне забезпечення ховається на зображеннях з телескопа Джеймса Вебба

Дослідники Securonix помітили цікаву кампанію з поширення шкідливого програмного забезпечення під назвою GO#WEBBFUSCATOR, написане на Go. Для його поширення хакери використовують фішингові електронні листи, шкідливі документи та зображення з телескопа Джеймса Вебба.

Нагадаю, ми також говорили про те, що ботнет MyKingz використовує фото Тейлор Свіфт для зараження цільових машин, а також про те, що хакери ховають скімери MageCart у кнопках соціальних мереж.

Як правило, зараження починається з фішингового листа із вкладеним шкідливим документом Geos-Rates.docx, який завантажує файл шаблону. Цей файл у свою чергу містить обфускований макрос на VBS, який запускається автоматично, якщо макроси в Office дозволені.

Після цього із віддаленого ресурсу, який контролюється зловмисниками (xmlschemeformat[.]com), завантажується зображення у форматі JPG (OxB36F8GEEC634.jpg). Картинка декодується у файл, що виконується (msdllupdate.exe) за допомогою certutil.exe, після чого файл запускається.

Цікаво, що якщо просто відкрити цей шкідливий JPG, то можна побачити скупчення галактик SMACS 0723, зняте телескопом Джеймса Вебба та опубліковане НАСА у липні 2022 року. Якщо відкрити файл у текстовому редакторі, можна знайти додатковий контент, а саме шкідливе навантаження, зашифроване за допомогою Base64, яке зрештою перетворюється на шкідливий виконуваний файл.

Динамічний аналіз шкідливого ПЗ показав, що виконуваний файл забезпечує шкідливому ПЗ стабільну присутність у системі, копіюючи себе в %%localappdata%%\microsoft\vault і створюючи новий ключ реєстру. Після запуску шкідлива програма встановлює DNS-з’єднання з сервером, що управляє, і відправляє йому зашифровані запити.

У разі GO#WEBBFUSCATOR зв’язок із сервером управління та контролю реалізований за допомогою запитів TXT-DNS та запитів nslookup. Усі дані кодуються за допомогою Base64.”- кажуть дослідники.

Сервер керування та контролю може реагувати на шкідливе програмне забезпечення, встановлюючи часові інтервали між запитами на підключення, змінюючи час очікування nslookup або відправляючи команди для виконання за допомогою cmd.exe. Так, фахівці Securonix спостерігали як зловмисники запускали довільні команди перерахування на тестових системах, тобто проводили первинну розвідку на заражених машинах.

Дослідники зазначають, що домени, які використовуються в цій кампанії, були зареєстровані нещодавно, найстаріший з них датований 29 травня 2022 року.

Уряд Японії вирішив боротися з використанням дискет

Як виявилося, понад 1900 адміністративних процедур у Японії, як і раніше, вимагають використання гнучких дисків. Нещодавно призначений голова Міністерства цифрової реформи Японії Таро Коно вирішив оголосити «війну» дискетам та іншим формам застарілих носіїв та перенести процес подання заявок до онлайн.

Нагадаю, що ми вже розповідали про курйози із «застарілими» технологіями — наприклад, ми писали про те, що припинення підтримки Adobe Flash викликало перебої в роботі китайської залізничної системи, а також, наприклад, про те, що Влада Південно-Африканської Республіки створює свій власний браузер, щоб продовжувати використовувати Flash.

За даними японських ЗМІ, Таро Коно оголосив про нову ініціативу під час прес-конференції минулого вівторка. Прем’єр-міністр Фуміо Кісіда вже заявив про свою повну підтримку цієї ініціативи.

Раніше переходу на більш сучасні носії інформації перешкоджали юридичні проблеми, тому державні органи Японії, як і раніше, використовують компакт-диски, міні-диски та дискети для отримання матеріалів від населення та бізнесу. Наприклад, у грудні минулого року японська газета Mainichi повідомила, що поліція Токіо втратила дві дискети з інформацією про 38 претендентів на здобуття соціального житла.

Коно обіцяє, що група, яка працює під його керівництвом, надасть план вирішення цих проблем до кінця 2022 року.

Ми швидко розглянемо цю практику. Де можна купити дискету?”- цитують його слова журналісти.

Слід зазначити, що Коно не вперше намагається модернізувати законодавство та документообіг у Японії, оскільки у багатьох випадках процедури передачі суворо регламентовані, а прийняті протоколи давно застаріли. Наприклад, у 2021 році колишній прем’єр-міністр Йосіхіде Суга спробував скоротити використання особистих марок та факсимільних апаратів. Однак його перебування на посаді виявилося недовгим і програма не була реалізована.

Нагадаю також, що зовсім недавно, коли Microsoft остаточно «поховала» Internet Explorer, припинення підтримки IE спровокувало справжній хаос у Японії, оскільки IE, як і раніше, використовувався багатьма компаніями та держорганами.

Група LockBit зазнала потужної DDoS-атаки

Минулого тижня, після злому компанії з інформаційної безпеки Entrust, хакерська група LockBit зазнала потужної DDoS-атаки. Зараз хакери кажуть, що покращили захист від DDoS і планують у майбутньому зайнятися потрійним здирством, використовуючи такі атаки як додаткові важелі впливу на жертв.

Bleeping Computer нагадує, що LockBit з’явився в 2019 році і з того часу став однією з найактивніших загроз. Раніше ми писали про те, що хакери запустили LockBit 3.0 та Bug Bounty Ransomware, а також про те, що експерти знаходять схожість між LockBit та BlackMatter.

Нагадаю, Entrust було зламано ще у червні 2022 року. Тоді компанія підтвердила ЗМІ, що Entrust зазнала атаки програми-вимагача, під час якої з її систем було викрадено дані. Крім того, на сайті, який хакерська група LockBit використовує для витоку даних, є розділ, присвячений Entrust. Зловмисники заявили, що збираються опублікувати там всю вкрадену в компанії інформацію. Зазвичай такі дії означають, що компанія-жертва відмовилася вести переговори з вимагачами або виконувати їхні вимоги.

Однак невдовзі після публікації даних Tor-сайт хакерів вийшов з ладу, і група повідомила, що зазнала DDoS-атаки саме через злом Entrust. Справа в тому, що DDoS супроводжується повідомленнями: DELETE_ENTRUSTCOM_MOTHERFUCKERS.

Як зараз пишуть журналісти Bleeping Computer, представник групи, відомий як LockBitSupp, повідомив, що група знову працює з серйознішою інфраструктурою, і тепер сайт витоку даних не боїться DDoS-атак.

Більше того, хакери заявили, що сприйняли цю DDoS-атаку як можливість вивчити тактику потрійного викупу, яка може стати в нагоді їм у майбутньому. Адже за допомогою DDoS-атак можна зробити додатковий тиск на жертв з метою виплати викуп (крім шифрування даних та загроз опублікувати вкрадену інформацію у відкритому доступі).

Шукаю дудосерів у команду, швидше за все тепер ми будемо атакувати цілі і вимагати потрійного викупу: шифрування + витік даних + дудоси, тому що я відчув силу дудосів і як це бадьорить і робить життя цікавішим.”- LockBitSup пише на форумі хакерів.

LockBit також пообіцяв поширювати всі вкрадені в Entrust дані через торрент на 300 ГБ, щоб “весь світ дізнався про ваші секрети”. При цьому представник групи пообіцяв, що спочатку хакери ділитимуться даними Entrust у приватному порядку з усіма, хто з ними зв’яжеться. Журналісти зазначають, що у вихідні LockBit вже випустив торрент під назвою «entrust.com», що містить 343 ГБ інформації.

https://twitter.com/masterchaerge/status/1563525794785140738?s=20&t=-AyXzSMur3sTjZBdfQ5RFg

Що стосується захисту від DDoS-атак, то одним із методів, що вже реалізовані хакерами, є використання унікальних посилань у записках з вимогою викупу.

“Вже реалізована функція рандомізації посилань у нотатках локера, кожна збірка локера матиме унікальне посилання, яке дудосер не зможе розпізнати”, – говорить LockBitSupp.

Хакери також заявили про збільшення кількості дзеркал і резервних серверів, а також планують підвищити доступність вкрадених даних, опублікувавши їх у звичайному інтернеті та використовуючи для цього «куленепробивний» хостинг.

Найбільший каталог Python-пакетів PyPI розмістив попередження про фішингову атаку

Платформа PyPI попередила про фішингову атаку, націлену на Python-розробників. Дослідники заявили, що це перша відома фішингова кампанія проти PyPI, під час якої хакери зламали кілька облікових записів користувачів.

Кіберзлочинці відправляли фішингові електронні листи, в яких інформували жертв про те, що Google виконує обов’язковий процес перевірки для всіх пакетів, і користувачеві необхідно підтвердити свої облікові дані.

Посилання у листі перенаправляє на підроблену сторінку входу до PyPI.

Після введення облікових даних на пристрій жертви завантажуються шкідливі PyPI-пакети, які вже видалені.

  • версія 0.1.6 “exotel” (понад 480 000 завантажень);
  • версія 2.0.2 і 4.0.2 “spam” (понад 200 000 завантажень).

Пакети завантажують з віддаленого сервера шкідливість python-install.scr розміром 63 МБ, який має дійсний підпис і проходить перевірку VirusTotal (30/67 виявлень). Шкідливе програмне забезпечення дозволяє віддалено виконати код і захопити контроль над пристроєм.

Більше того, експерти Medium опублікували список більш ніж 100 шкідливих PyPI-пакетів, які доставляються в рамках цієї кампанії.

В результаті PyPI оголосила, що роздає безкоштовні апаратні ключі безпеки тим, хто займається супроводом критично важливих проектів – 1% проектів, завантажених за останні шість місяців. Наразі є близько 3500 проектів, що відповідають вимогам.

За даними Checkmarx, майже третина PyPI-пакетів мають уразливості, які дозволяють зловмиснику автоматично виконати код. Для захисту від атаки PyPI роздає безкоштовні апаратні ключі безпеки. Оскільки PyPI-пакети стали частою мішенню кіберзлочинців, адміністратори реєстру поділилися рядом кроків, які можна зробити, щоб захистити себе від фішингових атак. Вони радять перевіряти URL-адресу сторінки перед наданням облікових даних.

Раніше дослідники з компанії Sonatype виявили шифрувальника в офіційному репозиторії PyPI. У ході розслідування з’ясувалося, що шкідник у репозиторій завантажив школяр, а будь-який користувач пакетів був жертвою здирника. Шкідники шифрували дані користувачів, але при цьому не вимагали викупу і перенаправляли жертв на Discord-сервер з ключами для дешифрування. Сам розробник виявився школярем з Італії, який вивчає Python, Lua та HTML. Створенням здирників юний розробник зайнявся нещодавно і, як стверджує, був здивований тим, як легко можна створити шкідливість і змусити користувачів встановити його.

Античит-драйвер гри Genshin Impact використовується для відключення антивірусів

Експерти Trend Micro виявили, що хакери зловживають системним античит-драйвером популярної гри Genshin Impact, щоб відключити антивірусне програмне забезпечення під час атак програм-вимагачів. Mhypro2.sys дає доступ до пам’яті будь-якого процесу та ядра, а також вміє завершувати процеси з найвищими привілеями.

Нагадаю, ми також писали про те, що Tencent та китайська поліція провели спільну операцію проти розробників ігрових читів.

Проблема mhypro2.sys відома як мінімум з 2020 року, і фахівці з інформаційної безпеки вже давно звертаються до виробників античит-систем взагалі, оскільки більшість таких рішень працюють на рівні кільця 0, що навряд чи можна вважати безпечним.

У випадку з mhypro2.sys звернення фахівців не вплинули, сертифікат підпису коду не був відкликаний, а значить, програму як і раніше можна встановлювати на Windows, не піднімаючи тривоги. Гірше того, з 2020 року на GitHub доступні одразу два PoC-експлойти і докладний опис того, як можна використовувати античит з режиму користувача для читання/запису пам’яті ядра з привілеями режиму ядра, завершення певних процесів і так далі.

У нещодавньому звіті Trend Micro говориться, що хакери зловживають драйвером з липня 2022 року та використовують його для відключення правильно налаштованих рішень безпеки.

Cхема обходу налаштувань безпеки за допомогою драйвера

Аналітики пишуть, що у вивченому ними прикладі зловмисники використовували secretsdump і wmiexec проти цільової машини, а потім підключаються до контролера домену RDP, використовуючи вкрадені облікові дані адміністратора.

Першою дією хакерів на зламаній машині було перенесення mhyprot2.sys на робочий стіл разом із шкідливим виконуваним файлом kill_svc.exe, який використовувався для встановлення драйвера. Потім зловмисники завантажили файл avg.msi, який, у свою чергу, завантажив та виконав наступні чотири файли:

  1. logon.bat – запускає HelpPane.exe, “вбиває” антивірус та інші служби, запускає svchost.exe;
  2. HelpPane.exe– маскується під файл Microsoft Help and Support, що виконується, аналогічний kill_svc.exe, оскільки встановлює mhyprot2.sys і «вбиває» антивірусні служби;
  3. mhyprot2.sys – античіт-драйвер Genshin Impact;
  4. svchost.exe – Неназване корисне навантаження програми-вимагача.

У цьому інциденті хакери тричі намагалися зашифрувати файли на cкомпрометованій робочій станції, але безуспішно. Тим не менш, антивірусні служби були успішно вимкнені. У результаті зловмисники просто перенесли logon.bat на робочий стіл, запустивши його вручну і все запрацювало.

До кінця атаки хакери завантажили драйвер, програму-вимагач і файл kill_svc.exe, що виконується, в загальний мережевий ресурс для масового розгортання, прагнучи заразити якомога більше робочих станцій.

Trend Micro попереджає, що хакери можуть продовжувати використовувати античит-модуль, тому що навіть якщо виробник усуне вразливість, старі версії mhypro2.sys все одно використовуватимуться, а модуль можна інтегрувати в будь-яке шкідливе ПЗ. У той же час експерти зазначають, що хоча модулі підпису коду, які виступають як драйвери пристроїв, можуть бути використані для зловживань, ці випадки досі рідкісні.

На момент написання цієї статті сигнатура коду для mhyprot2.sys була дійсна. Для атаки Genshin Impact не потрібно встановлювати на пристрій жертви. Використання драйвера не залежить від гри.” – попередження від Trend Micro.

У відповідь на публікацію цього звіту відомий експерт з інформаційної безпеки Кевін Бомонт зазначив у Twitter, що адміністратори можуть захиститися від цієї загрози, заблокувавши хеш «0466e90bf0e83b776ca8716e01d35a8a2e5f96d3», який відповідає вразливому драйверу.

https://twitter.com/gossithedog/status/1562848838972755968?s=12