هکرها روشی غیرقابل شناسایی برای نفوذ به سیستم‌های هدف خود کشف کرده‌اند

نقص امنیتی در یک باج‌افزار جدید از اجرای مؤثر ابزارهای ضدویروس روی سیستم جلوگیری می‌کند و هکرها با سواستفاده از این روش به سیستم‌های هدف خود نفوذ می‌کنند.

Bleeping Computer گزارش داده است که گروه باج‌افزاری بلک‌بایت (BlackByte) از درایور RTCore64.sys برای دورزدن بیش‌از ۱۰۰۰ درایور دیگر سواستفاده کرده است. بدین‌ترتیب برنامه‌های امنیتی که به چنین درایورهایی متکی هستند امکان تشخیص نقص را نخواهند داشت. محققان این تکنیک را Bring Your Own Driver (درایور خود را بیاورید) نامیده‌اند.

پس‌از این‌که هکرها درایورها را خاموش کردند، به‌دلیل عدم شناسایی و پاسخ چند نقطه‌ی پایانی (EDR) می‌توانند به سیستم هدف نفوذ کنند. درایورهای آسیب‌پذیر می‌توانند فرایند بازرسی را ازطریق گواهی معتبر انجام دهند و همچنین امتیازات بالایی روی رایانه‌های شخصی دارند.

محققان شرکت امنیت سایبری سوفوس (Sophos) جزییاتی را توضیح می‌دهند که کارت گرافیک MSI چگونه مورد حمله‌ی باج‌افزار قرار می‌گیرد و کدهای کنترل ورودی/خروجی را ارائه می‌دهد. به‌نوشته‌ی DigitalTrends، این باج‌افزار همچنین دستورالعمل‌های امنیتی مایکروسافت را درمورد دسترسی به حافظه‌ی هسته، دور می‌زند و بدین‌ترتیب عوامل تهدید می‌توانند کد موردنظر خود را بدون هیچ‌ مشکلی در حافظه‌ی هسته سیستم بخوانند، بنویسند یا اجرا کنند. سوفوس بیان کرد که بلک‌بایت طبیعتاً تمایل دارد از شناسایی شدن خود جلوگیری کند تا محققان نتوانند مراحل نفوذ آن به سیستم‌های هدف را مورد تجزیه‌وتحلیل قرار دهند. این شرکت به مهاجمانی اشاره کرد که به‌دنبال اشکال‌زدایی بوده، روی سیستم اجرا و سپس از آن خارج می‌شوند.

علاوه‌براین، بدافزار این گروه سیستم را برای یافتن DLLهای بالقوه‌ی متصل به Avast، Sandboxie، Windows DbgHelp Library و Comodo Internet Security بررسی می‌کند و اگر موردی یافت شود، بلک‌بایت عملکرد آن را غیرفعال خواهد کرد.

سوفوس به‌دلیل ماهیت پیچیده‌ی تکنیک استفاده‌شده در این عوامل تهدیدکننده، هشدار می‌دهد که آن‌ها به سواستفاده از درایورهای قانونی برای دورزدن محصولات امنیتی ادامه خواهند داد. پیش‌ازاین، گروه‌ هکری لازاروس کره‌ی شمالی از روش Bring Your Own Driver که شامل درایور سخت‌افزاری دل بود، استفاده کرده است.

Bleeping Computer همچنین به‌این مورد اشاره می‌کند که مدیران سیستم چگونه می‌توانند با قراردادن درایور MSI (RTCore64.sys) در فهرست مسدودسازی‌های فعال، از رایانه‌ی شخصی خود محافظت کنند. تلاش‌های باج‌افزار بلک‌بایت اولین‌بار در سال ۲۰۲۱ شناسایی شد و FBI در آن زمان تأیید کرد که این گروه مسئول برخی حمله‌های سایبری به دولت ایالات متحده بوده است.