0
0
Drivers maliciosos certificados pelo Programa de Desenvolvimento de Hardware do Windows da Microsoft foram usados para estimular os esforços de pós-exploração por cibercriminosos, alertou Redmond esta semana – inclusive sendo usados como parte de um pequeno kit de ferramentas destinado a encerrar o software de segurança nas redes de destino.
“Várias contas de desenvolvedores para o Microsoft Partner Center estavam envolvidas no envio de drivers maliciosos para obter uma assinatura da Microsoft”, explicou a Microsoft em um comunicado emitido em 13 de dezembro. “Uma nova tentativa de enviar um driver malicioso para assinatura em 29 de setembro de 2022, levou à suspensão das contas dos vendedores no início de outubro.”
A assinatura de código é usada para fornecer um nível de confiança entre o software e o sistema operacional; como tal, drivers assinados legitimamente podem passar por verificações normais de segurança de software, ajudando os cibercriminosos a se moverem lateralmente de um dispositivo para outro por meio de uma rede corporativa.
SIM-Swap, ataques de ransomware
Nesse caso, os drivers provavelmente foram usados em uma variedade de atividades pós-exploração, incluindo a implantação de ransomware, reconheceu a gigante da computação. E a Mandiant e a SentinelOne, que junto com a Sophos alertaram a Microsoft sobre o problema em outubro, detalharam o uso dos drivers em campanhas específicas.
De acordo com suas descobertas , também divulgadas em 13 de dezembro, os drivers foram usados pelo agente da ameaça conhecido como UNC3944 em “invasões ativas em telecomunicações, BPO [otimização de processos de negócios], MSSP [provedor de serviços de segurança gerenciados] e empresas de serviços financeiros ”, resultando em uma variedade de resultados.
O UNC3844 é um grupo de ameaças motivado financeiramente ativo desde maio que geralmente obtém acesso inicial a alvos com credenciais de phishing de operações de SMS, de acordo com pesquisadores da Mandiant.
“Em alguns casos, os objetivos pós-compromisso do grupo se concentraram em acessar credenciais ou sistemas usados para permitir ataques de troca de SIM , provavelmente em apoio a operações criminosas secundárias que ocorrem fora dos ambientes das vítimas”, detalhou Mandiant em uma postagem separada no blog de 13 de dezembro. sobre o assunto.
A serviço desses objetivos, o grupo foi observado usando os drivers assinados pela Microsoft como parte de um kit de ferramentas projetado para encerrar processos de antivírus e EDR. Esse kit de ferramentas consiste em duas peças: Stonestop, um utilitário de usuário do Windows que encerra processos criando e carregando um driver malicioso, e Poortry, um driver malicioso do Windows que usa o Stonestop para iniciar o encerramento do processo.
O SentinelLabs também observou um ator de ameaça separado usando o mesmo driver, “o que resultou na implantação do ransomware Hive contra um alvo na indústria médica, indicando um uso mais amplo dessa técnica por vários atores com acesso a ferramentas semelhantes”.
Para combater a ameaça, a Microsoft lançou atualizações de segurança do Windows que revogam o certificado dos arquivos afetados e suspendem as contas dos vendedores dos parceiros.
“Além disso, a Microsoft implementou detecções de bloqueio (Microsoft Defender 1.377.987.0 e mais recente) para ajudar a proteger os clientes de drivers assinados legitimamente que foram usados maliciosamente em atividades pós-exploração”, observou a empresa no comunicado.
FONTE: DARK READING