Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD

Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD

Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD

Киберпреступники запустили новую кампанию, в которой используется техника BYOVD (Bring Your Own Vulnerable Driver — приноси собственный уязвимый драйвер). Уязвимости в Sunlogin помогают злоумышленникам установить тулкит Sliver, а BYOVD — обойти защитные программы.

Bring Your Own Vulnerable Driver — довольно интересный вектор, позволяющий атакующим загрузить безобидный на первый взгляд драйвер, но при этом содержащий известные уязвимости. Зачастую такие драйверы подписаны, а значит, антивирусы вряд ли будут бить тревогу.

Ранее к BYOVD прибегали, например, участники киберпреступной группировки Lazarus, когда устанавливали руткит “FudModule“ на устройства жертв.

Sliver — набор инструментов для постэксплуатации, за его созданием стоит Bishop Fox. Фактически Sliver выступает в роли альтернативы Cobalt Strike, в котором недавно нашли критическую RCE-уязвимость.

Согласно свежему отчёту AhnLab Security Emergency Response Center (ASEC), в новых атаках киберпреступники используют уязвимости в Sunlogin, софте для удалённого доступа. Эти уязвимости — CNVD-2022-10270 / CNVD-2022-03672 — были выявлены в версии v11.0.0.33.

После эксплуатации злоумышленники задействуют скрипт PowerShell для установки Sliver, Gh0st RAT или вредоносного майнера XMRig.

 

Обфусцированный PowerShell-скрипт отключает антивирусные продукты, декодирует исполняемый файл .NET и загружает его в память. Эта исполняшка является модифицированной версией инструмента с открытым исходным кодом — Mhyprot2DrvControl. Последний помогает использовать уязвимые драйверы Windows для выполнения вредоносных действий с правами уровня ядра.

В частности, задействуется файл mhyprot2.sys — подписанный драйвер для борьбы с читерством в игре Genshin Impact. Затем уязвимости mhyprot2.sys используются для получения привилегий ядра в Windows и отключения антивирусов.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

ФСБ приостановило работу АИС Мой Спорт на фоне приказа ФСТЭК России №117

Территориальное управление ФСБ по Астраханской области приостановило работу автоматизированной информационной системы «Мой Спорт» из-за отсутствия надлежащего документального оформления. Эксперты считают, что подобные случаи могут стать массовыми на фоне подготовки к вступлению в силу приказа ФСТЭК №117.

Решение принято по итогам проверки, результаты которой приводит ComNews.

Как выяснили сотрудники ФСБ, у системы оказался неясный правовой статус. Проверяющие также не нашли правовых оснований для использования продукта, разработанного коммерческой компанией, в органах муниципальной власти и подведомственных учреждениях. До этого проверку проводила областная прокуратура.

Фактически единственным основанием для внедрения «Мой Спорт» стал протокол рабочего совещания в Министерстве спорта РФ, состоявшегося в марте. В документе региональным властям рекомендовали содействовать заключению лицензионных соглашений между АО «Мой Спорт» и государственными (муниципальными) организациями, реализующими программы спортивной подготовки, не позднее 1 июня 2025 года.

В результате Министерство физкультуры и спорта Астраханской области, не получив от федерального ведомства разъяснений относительно правового статуса системы, приостановило её использование в органах власти и подведомственных учреждениях.

«Подобные проверки могут быть предвестниками того, что начнётся, когда контролирующие органы начнут внимательно отслеживать соблюдение приказа ФСТЭК №117 “Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений”, который вступит в силу 1 марта 2026 года», — отмечает ComNews.

Приказ ФСТЭК России №117 вступает в силу 1 марта 2026 года. Документ устанавливает требования к защите государственных информационных систем, не относящихся к критической инфраструктуре, и включает как организационные, так и технические меры безопасности.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

RSS: Новости на портале Anti-Malware.ru