Злодеи обходят защитные средства с помощью старой дыры в Windows-драйвере

Злодеи обходят защитные средства с помощью старой дыры в Windows-драйвере

Злодеи обходят защитные средства с помощью старой дыры в Windows-драйвере

Киберпреступная группа, которую отслеживают под именем Scattered Spider, начала эксплуатировать старую уязвимость в драйвере Intel Ethernet для систем Windows. С помощью этой бреши злоумышленники пытаются пробраться в системы телекоммуникационных компаний.

Scattered Spider также носит кодовые имена Roasted 0ktapus и UNC3944. Группировка известна своими атаками на телеком-сферу и организации, занимающиеся аутсорсингом бизнес-процессов (BPO).

Впервые о Scattered Spider заговорили в июне 2022 года, когда та пыталась атаковать сети операторов связи. Для получения учётных данных и одноразовых паролей аутентификации группа использует агрессивный фишинг и методы социальной инженерии.

В последние недели Scattered Spider начала использовать эксплойт для уязвимости CVE-2015-2291, затрагивающей Intel Ethernet, драйвер для диагностики в Windows. Эксплуатация позволяет выполнить вредоносный код на уровне ядра.

На новые атаки обратили внимание специалисты CrowdStrike. По их словам, раньше атакующие уже использовали CVE-2015-2291 для развёртывания вредоносного драйвера на уровне ядра. Эта техника получила название Bring Your Own Vulnerable Driver (BYOVD).

Несмотря на то что Microsoft начала блокировать дырявые драйверы в Windows 10, киберпреступникам всё равно удаётся обойти эти ограничения.

Как отметили в CrowdStrike, Scattered Spider пытается использовать вредоносный драйвер для обхода антивирусных средств от Microsoft, Palo Alto Networks, SentinelOne и CrowdStrike. При этом упомянутый драйвер подписан с помощью украденных сертификатов.

Чтобы уйти от детектирования, файл работает через загруженные модули ядра и патчит компоненты защитного софта в памяти. Организациям рекомендуют просканировать свои системы на наличие CVE-2015-2291.

VK распродаёт активы и перестраивается под санкциями

VK резко перестраивает работу после новых ограничений Евросоюза. За несколько дней холдинг продал RuStore, объявил окончательный переезд с домена .com на .ru и лишился приложений сразу в двух крупнейших западных магазинах.

С 15 июля владельцем разработчика RuStore — компании «Много приложений» — стал её гендиректор Дмитрий Панкрушев.

Ранее бизнес целиком принадлежал VK. Сумма сделки не раскрывается, но эксперты оценивают актив примерно в 2 млрд рублей и связывают продажу с попыткой вывести магазин приложений из-под санкционного зонта холдинга.

Следом VK сообщил об исчезновении своих сервисов из Google Play. Вместе с VK и Max из каталога пропали «Одноклассники», Mail.ru, «Дзен» и «Юла». Ранее часть приложений холдинга уже удаляли из App Store.

Компания заверяет, что установленные версии продолжают работать, пуши и звонки не отключатся, а скачать приложения можно через RuStore и магазины производителей смартфонов.

Параллельно VK завершает переезд с vk.com на vk.ru. Для обычного пользователя это выглядит как смена нескольких букв, но внутри завязаны API, авторизация и партнёрские интеграции.

Эксперты, которых цитирует «КоммерсантЪ», считают, что переход в российскую доменную зону позволит снизить зависимость от зарубежной инфраструктуры. Некоторые участники рынка, впрочем, называют переезд срочным и вынужденным.

Инвесторы энтузиазма не проявили: 16 июля акции VK падали более чем на 7%.

Получается полноценная цифровая эвакуация: RuStore — за периметр холдинга, приложения — в альтернативные каталоги, домен .com — на выход. VK не просто меняет адрес, а срочно собирает инфраструктуру там, где до неё сложнее дотянуться санкциям.

RSS: Новости на портале Anti-Malware.ru