უსაფრთხოების ხარვეზმა დაუშვა ა გამოსასყიდი პროგრამა ბანდა ეფექტურად აღკვეთოს ანტივირუსული პროგრამების გამართულად გაშვება სისტემაში.
როგორც იტყობინება Bleeping Computer, BlackByte ransomware ჯგუფი იყენებს ახლად აღმოჩენილ მეთოდს, რომელიც დაკავშირებულია RTCore64.sys დრაივერთან 1000-ზე მეტი ლეგიტიმური დრაივერის გვერდის ავლით.
უსაფრთხოების პროგრამებს, რომლებიც ეყრდნობიან ასეთ დრაივერებს, ვერ ახერხებენ დარღვევების აღმოჩენას, რადგან თავად ტექნიკა მკვლევარებმა მოიხსენიეს, როგორც "მოიტანე შენი დრაივერი".
დაკავშირებული
- ჰაკერებს ახალი გზა აქვთ გამოსასყიდის გადახდის იძულებით
- ჰაკერები იყენებენ მზაკვრულ ახალ ხრიკს თქვენი მოწყობილობების დასაინფიცირებლად
- არა, 1Password არ იყო გატეხილი - აი, რა მოხდა სინამდვილეში
მას შემდეგ, რაც დრაივერები გამორთულია ჰაკერების მიერ, მათ შეუძლიათ იმუშაონ რადარის ქვეშ, მრავალი საბოლოო წერტილის გამოვლენისა და რეაგირების (EDR) არარსებობის გამო. დაუცველ დრაივერებს შეუძლიათ ინსპექტირების გავლა მოქმედი სერთიფიკატის საშუალებით და ასევე აქვთ მაღალი პრივილეგიები თავად კომპიუტერზე.
რეკომენდებული ვიდეოები
კიბერუსაფრთხოების კომპანია Sophos-ის მკვლევარები დეტალი როგორ გვთავაზობს MSI გრაფიკული დრაივერი, რომელიც მიზნად ისახავს გამოსასყიდი პროგრამების ბანდას, I/O კონტროლის კოდებს, რომლებზეც წვდომა შესაძლებელია მომხმარებლის რეჟიმში პროცესების მეშვეობით. თუმცა, ეს ელემენტი არღვევს Microsoft-ის უსაფრთხოების მითითებებს ბირთვის მეხსიერებაზე წვდომის შესახებ.
ექსპლოიტის გამო, საფრთხის მსახიობებს შეუძლიათ თავისუფლად წაიკითხონ, დაწერონ ან შეასრულონ კოდი სისტემის ბირთვის მეხსიერებაში.
BlackByte-ს ბუნებრივად სურს თავი აარიდოს გამოვლენას, რათა არ მოხდეს მისი ჰაკის ანალიზი მკვლევარებმა, სოფოსმა. განაცხადა - კომპანიამ მიუთითა თავდამსხმელებზე, რომლებიც ეძებენ სისტემაში გაშვებულ ნებისმიერ გამართვას და შემდეგ ტოვებენ.
გარდა ამისა, ჯგუფის მავნე პროგრამა სკანირებს სისტემას ნებისმიერი პოტენციური მიბმული DLL-ებისთვის, რომლებიც დაკავშირებულია Avast, Sandboxie, Windows DbgHelp Library და Comodo Internet Security. თუ რომელიმეს ძიებით იპოვით, BlackByte გათიშავს მის ფუნქციონირებას.
საფრთხის მოქმედი პირების მიერ გამოყენებული ტექნიკის დახვეწილი ბუნების გამო, სოფოსმა გააფრთხილა, რომ ისინი გააგრძელებენ ლეგიტიმური მძღოლების ექსპლუატაციას უსაფრთხოების პროდუქტების გვერდის ავლით. მანამდე, მეთოდი "მოიტანე შენი საკუთარი დრაივერი" იყენებდა ჩრდილოეთ კორეის ჰაკერულ ჯგუფ Lazarus-ს, რომელშიც მონაწილეობდა Dell-ის აპარატურის დრაივერი.
Bleeping Computer ხაზს უსვამს იმას, თუ როგორ შეუძლიათ სისტემის ადმინისტრატორებს დაიცვან თავიანთი კომპიუტერები MSI დრაივერის (RTCore64.sys) ჩასმით, რომელიც მიზნად ისახავს აქტიურ ბლოკ სიაში.
BlackByte-ის გამოსასყიდი პროგრამების მცდელობები პირველად 2021 წელს გამოჩნდა, როდესაც FBI-მ ხაზგასმით აღნიშნა, რომ ჰაკერული ჯგუფი იდგა მთავრობაზე გარკვეული კიბერშეტევების უკან.
რედაქტორების რეკომენდაციები
- გამოსასყიდი პროგრამების შეტევები მასიურად გაიზარდა. აი, როგორ დავიცვათ თავი
- შესაძლოა ჰაკერებმა მოიპარეს სხვა პაროლის მენეჯერის ძირითადი გასაღები
- Microsoft-მა ახლახან მოგცათ ახალი გზა ვირუსებისგან თავის დასაცავად
- Apple-ის ამ მთავარმა შეცდომამ შეიძლება ჰაკერებს თქვენი ფოტოების მოპარვისა და მოწყობილობის წაშლის უფლება მისცეს
- ჰაკერები იძირებიან ახალ დონეზე Discord ანგარიშების მოპარვით გამოსასყიდი პროგრამების შეტევებში
განაახლეთ თქვენი ცხოვრების წესიDigital Trends ეხმარება მკითხველს თვალყური ადევნონ ტექნოლოგიების სწრაფ სამყაროს ყველა უახლესი სიახლეებით, სახალისო პროდუქტების მიმოხილვებით, გამჭრიახი რედაქციებითა და უნიკალური თვალით.
