گروه باج افزاری ALPHV (aka BlackCat) از درایورهای مخرب هسته ویندوز به منظور عدم شناسایی توسط نرم افزارهای امنیتی در طول حمله، استفاده می کند.
طبق بررسی های صورت گرفته روی این درایور مشخص شده است که یک نسخه بهبود یافته از بدافزار معروف POORTRY بوده که سال قبل توسط شرکتهای امنیتی مختلفی در حملات باج افزاری مشاهده شده است.
بدافزار POORTRY یک درایور هسته ویندوز است که با استفاده از کلیدهای دزدیده شده از اکانتهای قانونی در Microsoft Windows Hardware Developer Program امضا شده است.
این درایور مخرب قبلا توسط گروه هکری UNC3944 که با عنوان Aktapus شناخته شده اند، استفاده شده بود و به عنوان یک درایور هسته ویندوز با بالاترین سطوح مجوزها در سیستم عامل اجرا می شود که از آنها می توان برای پایان دادن به هر فرآیندی استفاده کرد.
به گفته trend micro مهاجمان باج افزاری تلاش می کنند تا از درایور POORTRY امضا شده مایکروسافت استفاده کنند، اما امکان شناسایی آنها با توجه به خبرهایی که منتشر شد و پس از لغو کلیدهای امضا، بالاتر رفت.
بنابراین هکرها مجددا از یک نسخه بروز شده POORTRY در حملات خود استفاده می کنند.
این نسخه جدید توسط گروه باج افزاری BlackCat استفاده شده و به آنها کمک می کند تا مجوزهای سیستم در معرض خطر را به دست آورده و فرآیندهای مربوط به عوامل امنیتی را متوقف کنند.
به علاوه این درایور لینکی بین گروه باج افزاری و گروه هکری UNC3944 ایجاد می کند.
درایور مخرب هسته ویندوز
این درایور امضا شده ابتدا توسط Trend Micro در فوریه 2023 و حملات BlackCat شناسایی شد و در فایل سیستم قربانی در مسیر %temp%folder با نام ktgn.sys قرار داشته است که توسط یک برنامه با نام tjr.exe بارگذاری می شود.
آنالیزها نشان می دهد که امضای دیجیتال ktgn.sys لغو شده است. اما این درایور همچنان روی ویندوزهای 64 بیتی بدون مشکل و از طریق پالیسی های امضای اجباری بارگذاری می شود!
به مدیران سیستم ها توصیه می شود که از شاخص های ریسک منتشر شده توسط trend micro استفاده کرده و درایورهای مخرب مورد استفاده مهاجمان باج افزاری را در window driver Blacklist ثبت نمایند.
ادمین ویندوز نیز باید مطمئن شود که Driver Signature Enforcement فعال بوده تا نصب هر درایوری که امضای دیجیتال معتبر ندارد، مسدود شود.
منبع: https://www.bleepingcomputer.com/