Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD

Екатерина Быстрова 07 Февраля 2023 - 10:21

Домашние пользователи

...

Киберпреступники запустили новую кампанию, в которой используется техника BYOVD (Bring Your Own Vulnerable Driver — приноси собственный уязвимый драйвер). Уязвимости в Sunlogin помогают злоумышленникам установить тулкит Sliver, а BYOVD — обойти защитные программы.

Bring Your Own Vulnerable Driver — довольно интересный вектор, позволяющий атакующим загрузить безобидный на первый взгляд драйвер, но при этом содержащий известные уязвимости. Зачастую такие драйверы подписаны, а значит, антивирусы вряд ли будут бить тревогу.

Ранее к BYOVD прибегали, например, участники киберпреступной группировки Lazarus, когда устанавливали руткит “FudModule“ на устройства жертв.

Sliver — набор инструментов для постэксплуатации, за его созданием стоит Bishop Fox. Фактически Sliver выступает в роли альтернативы Cobalt Strike, в котором недавно нашли критическую RCE-уязвимость.

Согласно свежему отчёту AhnLab Security Emergency Response Center (ASEC), в новых атаках киберпреступники используют уязвимости в Sunlogin, софте для удалённого доступа. Эти уязвимости — CNVD-2022-10270 / CNVD-2022-03672 — были выявлены в версии v11.0.0.33.

После эксплуатации злоумышленники задействуют скрипт PowerShell для установки Sliver, Gh0st RAT или вредоносного майнера XMRig.

Обфусцированный PowerShell-скрипт отключает антивирусные продукты, декодирует исполняемый файл .NET и загружает его в память. Эта исполняшка является модифицированной версией инструмента с открытым исходным кодом — Mhyprot2DrvControl. Последний помогает использовать уязвимые драйверы Windows для выполнения вредоносных действий с правами уровня ядра.

В частности, задействуется файл mhyprot2.sys — подписанный драйвер для борьбы с читерством в игре Genshin Impact. Затем уязвимости mhyprot2.sys используются для получения привилегий ядра в Windows и отключения антивирусов.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Яков Шпунт 22 Мая 2026 - 10:44

Соответствие законодательству РФ Домашние пользователи Государство

Автоугонщики с высокотехнологичными устройствами получили до 9 лет

Октябрьский районный суд Иваново вынес приговор трём местным жителям, которых обвиняли в серии краж дорогостоящих автомобилей. В своей деятельности они активно использовали высокотехнологичные устройства для обхода противоугонной защиты. Участники группы получили от 6 до 9 лет лишения свободы.

О завершении судебного процесса над группой автоворов сообщила официальный представитель МВД России Ирина Волк. Преступную деятельность троица вела в течение 2024 года. Выявлено не менее пяти эпизодов.

Злоумышленники специализировались на кражах автомобилей южнокорейского производства. Чаще всего они выбирали машины, оставленные владельцами во дворах. Участники группы использовали продвинутые устройства, которые позволяли открывать двери, блокировать сигнализацию и дистанционно запускать двигатель. Кроме того, автоворы научились блокировать и демонтировать системы мониторинга, предназначенные для отслеживания местоположения автомобиля.

По фактам угонов были возбуждены пять уголовных дел по ч. 4 статьи 158 УК РФ (кража в особо крупном размере). Позднее их объединили в одно производство.

Подозреваемых задержали в ходе оперативно-розыскных мероприятий. При обысках были обнаружены деньги, автомобильные запчасти и устройства, которые злоумышленники использовали для угонов. Также был изъят один из похищенных автомобилей. Остальные машины участники группы успели продать в одном из сопредельных государств.

Октябрьский районный суд Иваново признал злоумышленников виновными и назначил им наказание в виде лишения свободы на срок от 6 до 9 лет. Приговор пока не вступил в законную силу.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!