В целевых атаках всплыл еще один вредоносный драйвер ядра Windows
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

В целевых атаках всплыл еще один вредоносный драйвер ядра Windows

Татьяна Никитина 23 Мая 2023 - 19:38
...
В целевых атаках всплыл еще один вредоносный драйвер ядра Windows

Вредонос, которого в Fortinet нарекли WINTAPIX, работает как дроппер: использует встроенный шелл-код для извлечения и запуска целевой полезной нагрузки — написанного на .NET бэкдора.

Проведенное исследование показало, что зловред WinTapix.sys (отсюда и кодовое имя) используется в целевых атаках как минимум с середины 2020 года. Такой инструмент, как драйвер режима ядра, позволяет злоумышленникам отключить защиту Windows и получить привилегированный доступ к хосту.

Образцы WinTapix.sys снабжены недействительной подписью, то есть их запуск, видимо, требует загрузки легитимного (и уязвимого) драйвера. В противном случае сработает блокировка, введенная Microsoft еще в 2020 году.

После загрузки вредонос внедряет свой шелл-код в запущенный 32-битный процесс режима пользователя (список табу: wininit.exe, csrss.exe, smss.exe, services.exe, winlogon.exe, lsass.exe). Он также регистрирует свой сервис и создает записи в реестре, чтобы обеспечить себе автозапуск в безопасном режиме (Safe Boot).

Встроенный шелл-код, как выявил анализ, создан с использованием opensource-проекта Donut. Извлекаемый .NET-пейлоад расшифровывается и сохраняется в файл. Вредоносная программа наделена функциями бэкдора (выполнение команд, загрузка-выгрузка файлов) и умеет работать как прокси, в том числе с использованием RDP.

Примечательно, что данный зловред способен работать лишь на серверах IIS. Там, где нет этого софта, происходит крах.

 

Каким образом распространяется WINTAPIX, не установлено; исследователи не исключают, что для этого могут использоваться прошлогодние уязвимости Microsoft Exchange, популярные у киберкриминала. Согласно данным телеметрии, злоумышленников в основном интересуют цели на Ближнем Востоке.

Преимущества использования драйвера ядра оценили также вымогатели BlackCat. Цепочка заражения шифровальщика теперь включает ktgn.sys — обновленный вариант POORTRY, подписанный украденным или слитым сертификатом. По данным Trend Micro, скомпрометированные сертификаты разработчика уже отозваны.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

VK Workspace заблокировала 421 млн спам- и фишинговых писем за III квартал
Екатерина Быстрова 24 Октября 2025 - 19:02
СпамФишинг Корпорации АнтифишингАнтиспам
VK Workspace заблокировала 421 млн спам- и фишинговых писем за III квартал

В третьем квартале 2025 года корпоративная платформа VK Workspace предотвратила рассылку 421 миллиона спам- и фишинговых писем, направленных на компании. Благодаря этому удалось избежать кражи данных и заражения устройств вредоносными программами.

Как уточнили в компании, основную часть заблокированных сообщений составляли массовые рекламные рассылки, однако среди них было и множество фишинговых писем, имитирующих переписку с реальными организациями — в частности, логистическими компаниями, а также популярными брендами и госуслугами.

«Решения VK Workspace и Почты Mail остановили более 7,6 миллиарда спам-сообщений в третьем квартале 2025 года, направленных как на бизнес, так и на пользователей. Поэтому использование почты с продвинутой защитой от спама и фишинга становится особенно важным», — рассказал директор по информационной безопасности VK Tech Анатолий Тутынин.

По его словам, защита от фишинга и вредоносных писем в VK Workspace основана на машинном обучении и репутационных системах, которые анализируют домены отправителей. Кроме того, используется оптическое распознавание символов (OCR) — оно помогает выявлять спам, замаскированный под изображения.

В компании отмечают, что благодаря такому подходу система точнее определяет потенциальные угрозы и снижает риск того, что вредоносные письма дойдут до сотрудников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Microsoft Defender ошибочно помечает BIOS Dell как устаревший
Новость
Microsoft Defender ошибочно помечает BIOS Dell как устаревши...
Шесть популярных менеджеров паролей уязвимы к кликджекингу
Новость
Шесть популярных менеджеров паролей уязвимы к кликджекингу
Инженер Яндекса помог закрыть опасную уязвимость в Chromium
Новость
Инженер Яндекса помог закрыть опасную уязвимость в Chromium

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.