Злодеи обходят защитные средства с помощью старой дыры в Windows-драйвере

Екатерина Быстрова 12 Января 2023 - 09:29

Малый и средний бизнес

...

Киберпреступная группа, которую отслеживают под именем Scattered Spider, начала эксплуатировать старую уязвимость в драйвере Intel Ethernet для систем Windows. С помощью этой бреши злоумышленники пытаются пробраться в системы телекоммуникационных компаний.

Scattered Spider также носит кодовые имена Roasted 0ktapus и UNC3944. Группировка известна своими атаками на телеком-сферу и организации, занимающиеся аутсорсингом бизнес-процессов (BPO).

Впервые о Scattered Spider заговорили в июне 2022 года, когда та пыталась атаковать сети операторов связи. Для получения учётных данных и одноразовых паролей аутентификации группа использует агрессивный фишинг и методы социальной инженерии.

В последние недели Scattered Spider начала использовать эксплойт для уязвимости CVE-2015-2291, затрагивающей Intel Ethernet, драйвер для диагностики в Windows. Эксплуатация позволяет выполнить вредоносный код на уровне ядра.

На новые атаки обратили внимание специалисты CrowdStrike. По их словам, раньше атакующие уже использовали CVE-2015-2291 для развёртывания вредоносного драйвера на уровне ядра. Эта техника получила название Bring Your Own Vulnerable Driver (BYOVD).

Несмотря на то что Microsoft начала блокировать дырявые драйверы в Windows 10, киберпреступникам всё равно удаётся обойти эти ограничения.

Как отметили в CrowdStrike, Scattered Spider пытается использовать вредоносный драйвер для обхода антивирусных средств от Microsoft, Palo Alto Networks, SentinelOne и CrowdStrike. При этом упомянутый драйвер подписан с помощью украденных сертификатов.

Чтобы уйти от детектирования, файл работает через загруженные модули ядра и патчит компоненты защитного софта в памяти. Организациям рекомендуют просканировать свои системы на наличие CVE-2015-2291.

Следующая главная новость »

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »

Яков Шпунт 22 Декабря 2025 - 19:42

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

В Госдуме не будут запрещать соцсети для детей и подростков

Первый заместитель председателя комитета Госдумы по информационной политике Антон Горелкин опроверг заявления заместителя председателя того же комитета Андрея Свинцова, который ранее высказывался за запрет использования социальных сетей для детей младше 14 лет.

Об этом депутат заявил в своём канале в MAX. Напомним, Свинцов апеллировал к опыту Австралии, где аналогичный запрет для пользователей младше 16 лет уже действует.

За введение подобных ограничений также выступал член комиссии Общественной палаты по экспертизе законопроектов Евгений Машаров. Он предлагал ввести запрет на социальные сети для несовершеннолетних наряду с ограничением доступа к играм незарегистрированных в России издателей и блокировкой крупных зарубежных мессенджеров, объясняя это необходимостью снижения киберрисков для подростков.

Антон Горелкин, в свою очередь, считает, что возможные последствия такого запрета могут оказаться негативными. В качестве примера он приводит австралийский опыт:

«Власти Австралии рапортуют об успехах, однако всё больше подростков выбирают цифровые платформы, которые не сотрудничают с государством. Происходит массовая миграция детей в неконтролируемые уголки интернета — и это, на мой взгляд, намного опаснее».

Кроме того, как показали исследования, проведённые накануне введения запрета в Австралии, дети и подростки, включая младшие возрастные группы, без особого труда обходят подобные ограничения. Многие платформы соблюдают возрастные требования лишь формально и не проверяют реальный возраст пользователей. В результате ограничения реально соблюдали лишь около 10% несовершеннолетних.

Итоги 2025 в ИБ: анализ рынка, тенденции и прогнозы в эфире AM Live. Регистрируйтесь по этой ссылке »