Studiuesit e Asec kanë zbuluar se kriminelët e panjohur kibernetikë shfrytëzojnë një dobësi të Sunlogin për të instaluar mjetin Sliver dhe për të çaktivizuar antiviruset përmes një sulmi Bring Your Own Vulnerable Driver (BYOVD) kundër pajisjeve Windows. Në raste të tjera, u shpërnda një RAT (Remote Access Trojan) dhe një minator i kriptomonedhës.
Sliver, Sunlogin dhe BYOVD
Sliver është një mjet testimi i penetrimit i zhvilluar nga Bishop Fox si një alternativë ndaj Cobalt Strike më të njohur. Zakonisht përdoret për të kontrolluar dobësitë në rrjete, por gjithashtu mund të shfrytëzohet për aktivitete të paligjshme. Sliver funksionon si një derë e pasme dhe ju lejon të ekzekutoni komanda, të menaxhoni skedarët dhe proceset, të ngarkoni skedarë, të merrni pamje nga ekrani dhe të përshkallëzoni privilegjet.
Sunlogin është në vend të kësaj një mjet kontrolli në distancë. Një dobësi në një version më të vjetër është shfrytëzuar për të instaluar Gh0st RAT dhe XMRig. Në sulmet e fundit Sliver u shpërnda përmes një skripti PowerShell. Ky i fundit ekzekuton një version të modifikuar të mjetit Mhyprot2DrvControl, i cili, duke përdorur teknikën BYOVD, ngarkon skedarin mhyprot2.sys, d.m.th. shoferin anti-cheat të lojës Genshin Impact, në memorie.
Shoferi legjitim përshkallëzon privilegjet dhe çaktivizon softuerin e sigurisë. Skripti PowerShell shkarkon gjithashtu guaskën e kundërt të Powercat që lejon kriminelët kibernetikë të marrin kontrollin e kompjuterit tuaj. Microsoft shpjegon se si të bllokohen drejtuesit e cenueshëm me Integritetin e memories së Windows ose Kontrollin e aplikacionit të Windows Defender (WDAC).
Discussion about this post