安全研究人员表示,他们有证据表明,与古巴勒索软件团伙有关联的威胁行为者在最近的勒索软件攻击未遂中使用了经过 Microsoft 认证的恶意硬件驱动程序。
驱动程序——允许操作系统和应用程序访问硬件设备并与之通信的软件——需要对操作系统及其数据的高特权访问,这就是为什么 Windows 要求驱动程序在允许驱动程序加载之前具有批准的加密签名.
这些驱动程序长期以来一直被网络犯罪分子滥用,通常采取“自带易受攻击的驱动程序”的方法,黑客利用合法软件发行商提供的现有 Windows 驱动程序中发现的漏洞。 Sophos的研究人员表示,他们观察到黑客齐心协力逐步转向使用更广泛信任的数字证书。
在调查客户网络上的可疑活动时,Sophos 发现了与俄罗斯有联系的古巴勒索软件团伙正在努力提升信任链的证据。在调查过程中,Sophos 发现该团伙历史最悠久的恶意驱动程序可追溯到 7 月,由中国公司的证书签名,然后开始使用泄露的 Nvidia 证书为他们的恶意驱动程序签名,该证书在Lapsus$ 勒索软件团伙倾销的数据中发现,该证书已被吊销当它在 3 月份攻击这家芯片制造商时。
攻击者现在已经成功地从微软的官方 Windows 硬件开发者计划中获得了“标志”,这意味着该恶意软件本质上受到任何 Windows 系统的信任。
Sophos 研究人员 Andreas Klopsch 和 Andrew Brandt 在一篇博客文章中写道:“威胁行为者正在沿着信任金字塔攀升,试图使用越来越受信任的加密密钥对他们的驱动程序进行数字签名。” “来自大型、值得信赖的软件发行商的签名使驱动程序更有可能不受阻碍地加载到 Windows,从而提高了古巴勒索软件攻击者终止保护其目标计算机的安全进程的机会。”
Sophos 发现 Cuba 团伙使用所谓的 BurntCigar 加载程序的变体将恶意签名的驱动程序植入目标系统,这是一种已知的恶意软件,隶属于 Mandiant 首次观察到的勒索软件组。两者结合使用,试图在目标机器上禁用端点检测安全工具。
如果成功(在本例中,他们没有成功),攻击者可以在受感染的系统上部署勒索软件。
Sophos 与Mandiant和SentinelOne的研究人员在 10 月份通知微软,经过合法证书认证的驱动程序在后期开发活动中被恶意使用。微软自己的调查显示,微软合作伙伴中心的几个开发者账户参与了提交恶意驱动程序以获得微软签名的活动。
“正在进行的微软威胁情报中心分析表明,签名的恶意驱动程序可能被用来促进利用后的入侵活动,例如部署勒索软件,”微软在作为其每月计划发布的安全补丁(称为 Patch)的一部分发布的公告中表示周二。微软表示,它已经发布了 Windows 安全更新,撤销了受影响文件的证书,并暂停了合作伙伴的卖家账户。
本月早些时候,美国政府的一份咨询报告显示,古巴勒索软件团伙通过对全球 100 家组织的攻击额外赚取了 6000 万美元。该通报警告说,自 2019 年以来一直活跃的勒索软件组织继续以关键基础设施中的美国实体为目标,包括金融服务、政府设施、医疗保健和公共卫生,以及关键制造和信息技术。
Carly Page发现勒索软件团伙使用 Microsoft 批准的驱动程序来攻击目标,最初发表于TechCrunch
原文: https://techcrunch.com/2022/12/13/cuba-ransomware-microsoft-drivers/