Von Microsoft signierte bösartige Viehtreiber zur Folge haben EDR-Totschläger und Ransomware ein

Schädliche Viehtreiber, die vom Windows Hardware Developer Program von Microsoft zertifiziert wurden, wurden verwendet, um die Bemühungen von Cyberkriminellen nachher welcher Ausbeutung zu beschleunigen, warnte Redmond selbige Woche – einschließlich welcher Verwendung qua Teil eines kleinen Toolkits, dies darauf abzielt, Sicherheitssoftware in Zielnetzwerken zu verfertigen.

„Mehrere Entwicklerkonten z. Hd. dies Microsoft Partner Center waren damit beschäftigt, bösartige Viehtreiber einzureichen, um eine Microsoft-Signatur zu erhalten“, erklärte Microsoft in einer am 13. zwölfter Monat des Jahres veröffentlichten Vorschlag. führte Werden zehnter Monat des Jahres zur Sperrung welcher Konten welcher Verkäufer.”

Sourcecode Signing wird verwendet, um ein gewisses Vermessung an Vertrauen zwischen welcher Software und dem operating system herzustellen; Von dort können legitim signierte Viehtreiber normale Software-Sicherheitsprüfungen vorbeigehen und Cyberkriminellen nun helfen, sich seitwärts von Gerät zu Gerät durch ein Unternehmensnetzwerk zu in Bewegung setzen.

SIM-Swap, Ransomware-Angriffe

In diesem Sachverhalt wurden die Viehtreiber wahrscheinlich in einer Vielzahl von Postamt-Exploitation-Aktivitäten verwendet, einschließlich welcher Versorgung von Ransomware, räumte welcher Computergigant ein. Und Mandiant und SentinelOne, die zusammen mit Sophos Microsoft im zehnter Monat des Jahres verbinden hinaus dies Problem dabei gemacht nach sich ziehen, nach sich ziehen die Verwendung welcher Viehtreiber in spezifischen Kampagnen detailliert beschrieben.

Ihren Erkenntnissen zufolge, die ebenfalls am 13. zwölfter Monat des Jahres veröffentlicht wurden, wurden die Viehtreiber von dem qua UNC3944 bekannten Bedrohungsakteur z. Hd. „aktive Eingriffe in die Telekommunikation, BPO“ verwendet [business process optimization]MSSP [managed security service provider]und Finanzdienstleistungsunternehmen”, welches zu einer Vielzahl von Ergebnissen führt.

Laut Mandiant-Forschern ist UNC3844 eine seit dieser Zeit Mai aktive, monetär motivierte Bedrohungsgruppe, die normalerweise mit Phishing-Anmeldedaten aus SMS-Operationen ersten Zugriff hinaus Ziele erhält.

„In einigen Fällen nach sich ziehen sich die Ziele welcher Partie nachher welcher Kompromittierung hinaus den Zugriff hinaus Anmeldeinformationen oder Systeme konzentriert, die zum Zuteilen von SIM-Swapping-Angriffen verwendet werden, wahrscheinlich zur Unterstützung sekundärer krimineller Operationen, die external welcher Umgebung des Opfers stattfinden“, erläuterte Mandiant in einem separaten Blogbeitrag vom 13. zwölfter Monat des Jahres zum Themenbereich.

Im Dienste dieser Ziele wurde beobachtet, dass die Partie die von Microsoft signierten Viehtreiber qua Teil eines Toolkits verwendete, dies zum Verfertigen von Antiviren- und EDR-Prozessen entwickelt wurde. Dieses Toolkit besteht aus zwei Teilen: Stonestop, einem Windows-Userland-Hilfsprogramm, dies Prozesse beendet, während es zusammenführen bösartigen Viehtreiber erstellt und lädt, und Poortry, ein bösartiger Windows-Viehtreiber, welcher Stonestop verwendet, um die Prozessbeendigung einzuleiten.

SentinelLabs beobachtete sogar zusammenführen separaten Bedrohungsakteur, welcher denselben Viehtreiber verwendete, „welches zum Hinterlegung von Hive-Ransomware gegen ein Ziel in welcher medizinischen Industrie führte, welches hinaus eine breitere Nutzung dieser Technologie durch verschiedene Akteure mit Zugang zu ähnlichen Werkzeugen hindeutet“.

Um die Risiko zu bekämpfen, hat Microsoft Windows-Sicherheitsupdates veröffentlicht, die dies Zertifikat z. Hd. betroffene Dateien zurückziehen und die Verkäuferkonten welcher Partner zeitweilig ausschließen.

„Zusätzlich hat Microsoft Blockierungserkennungen (Microsoft Defender 1.377.987.0 und neuer) implementiert, um Kunden vor legitim signierten Treibern zu schützen, die boshaft in Postamt-Exploit-Aktivitäten verwendet wurden“, stellte dies Unternehmen in welcher Vorschlag straff.