Aktor ancaman di balik operasi Medusa Ransomware-as-A-Service (RAAS) telah diamati menggunakan pengemudi jahat yang dijuluki Abyssworker Sebagai bagian dari serangan Bring Your Own Rentan (BYOVD) yang dirancang untuk menonaktifkan alat anti-malware.
Elastic Security Labs mengatakan mereka mengamati serangan ransomware Medusa yang mengirimkan enkriptor melalui pemuat yang dikemas menggunakan Packer-as-A-Service (PAAS) yang disebut HeartCrypt.
“Loader ini dikerahkan bersama pengemudi yang ditandatangani sertifikat yang dicabut dari penjual Cina yang kami beri nama Abyssworker, yang dipasangnya pada mesin korban dan kemudian digunakan untuk menargetkan dan membungkam vendor EDR yang berbeda,” kata perusahaan itu dalam sebuah laporan.
Pengemudi yang dimaksud, “Smuol.sys,” meniru pengemudi Falcon crowdstrike yang sah (“csagent.sys”). Lusinan artefak abyssworker telah terdeteksi pada platform virustotal yang berasal dari 8 Agustus 2024, hingga 25 Februari 2025. Semua sampel yang diidentifikasi ditandatangani menggunakan kemungkinan yang dicuri dan dicabut sertifikat dari perusahaan Cina.
Fakta bahwa malware juga ditandatangani memberikan veneer kepercayaan dan memungkinkannya untuk memotong sistem keamanan tanpa menarik perhatian apa pun. Perlu dicatat bahwa driver Detection and Response (EDR) -Killing sebelumnya sebelumnya didokumentasikan oleh ConnectWise pada Januari 2025 dengan nama “NBWDV.SYS.”
Setelah diinisialisasi dan diluncurkan, Abyssworker dirancang untuk menambahkan ID proses ke daftar proses yang dilindungi global dan mendengarkan permintaan kontrol I/O perangkat yang masuk, yang kemudian dikirim ke penangan yang sesuai berdasarkan kode kontrol I/O.
“Penangan ini mencakup berbagai operasi, dari manipulasi file hingga proses dan penghentian driver, menyediakan toolset komprehensif yang dapat digunakan untuk mengakhiri atau menonaktifkan sistem EDR secara permanen,” kata Elastic.
Daftar beberapa kode kontrol I/O di bawah ini –
- 0x222080-Aktifkan driver dengan mengirimkan kata sandi “7n6bcaoecbitsur5-h4rp2nkqxybfkb0f-wgbjgh20pwuun1-zxfxdioyps6htp0x”
- 0x2220c0 – Muat API Kernel yang Diperlukan
- 0x222184 – Salin file
- 0x222180 – Hapus file
- 0x222408 – Kill System Threads By Module Name
- 0x222400 – Hapus Pemberitahuan Pemberitahuan dengan Nama Modul
- 0x2220c0 – Load API
- 0x222144 – Menghentikan proses dengan ID prosesnya
- 0x222140 – Akhiri utas dengan ID utasnya
- 0x222084 – Nonaktifkan malware
- 0x222664 – Reboot mesin
Yang menarik adalah 0x222400, yang dapat digunakan untuk membutakan produk keamanan dengan mencari dan menghapus semua panggilan balik pemberitahuan terdaftar, sebuah pendekatan yang juga diadopsi oleh alat-alat pembunuh EDR lainnya seperti Edrsandblast dan Realblindingedr.
Temuan ini mengikuti laporan dari Venak Security tentang bagaimana para aktor ancaman mengeksploitasi driver kernel yang sah-tetapi-macet yang terkait dengan perangkat lunak antivirus zonealarm check point sebagai bagian dari serangan BYOVD yang dirancang untuk mendapatkan hak istimewa yang tinggi dan menonaktifkan fitur keamanan Windows seperti integritas memori.
Akses istimewa kemudian disalahgunakan oleh para aktor ancaman untuk membuat koneksi protokol desktop jarak jauh (RDP) ke sistem yang terinfeksi, memfasilitasi akses persisten. Celah sejak itu telah dicolokkan oleh titik periksa.
“Sebagai vsdatant.sys beroperasi dengan hak istimewa kernel tingkat tinggi, penyerang dapat mengeksploitasi kerentanannya, melewati perlindungan keamanan dan perangkat lunak antivirus, dan mendapatkan kendali penuh terhadap mesin yang terinfeksi,” kata perusahaan.
“Setelah pertahanan ini dilewati, penyerang memiliki akses penuh ke sistem yang mendasarinya, para penyerang dapat mengakses informasi yang sensitif seperti kata sandi pengguna dan kredensial tersimpan lainnya. Data ini kemudian dikeluarkan, membuka pintu untuk eksploitasi lebih lanjut.”
Pengembangan ini terjadi ketika operasi ransomware ransomhub (alias Greenbottle dan Cyclops) telah dikaitkan dengan penggunaan pengkhianat bertanda nama multi-fungsi yang sebelumnya tidak berdokumen oleh setidaknya salah satu afiliasinya.
Implan dilengkapi dengan fitur yang biasanya terkait dengan malware yang digunakan sebagai pendahulu ransomware, seperti screenshotting, keylogging, pemindaian jaringan, eskalasi hak istimewa, pembuangan kredensial, dan exfiltrasi data ke server jarak jauh.
“Fungsionalitas pengkhianat menunjukkan bahwa itu mungkin telah dikembangkan untuk meminimalkan jumlah alat baru yang dijatuhkan pada jaringan yang ditargetkan sementara serangan ransomware sedang disiapkan,” kata Symantec yang dimiliki Broadcom, menggambarkannya sebagai sesuatu dari penyimpangan dari alat kustom lain yang dikembangkan oleh kelompok ransomware untuk eksfiltrasi data.
“Penggunaan malware khusus selain enkripsi muatan relatif tidak biasa dalam serangan ransomware. Sebagian besar penyerang mengandalkan alat yang sah, hidup di luar negeri, dan malware yang tersedia untuk umum seperti Mimikatz dan Cobalt Strike.”
