Truesight.sys: как популярный антируткит стал работать на киберпреступников

Киберпреступники активно используют уязвимый драйвер Windows из защитных продуктов Adlice, чтобы обходить механизмы безопасности и распространять вредоносное ПО Gh0st RAT. По данным Check Point, атакующие модифицировали части исполняемого файла версии 2.0.2 драйвера, сохранив его цифровую подпись, что позволяло обходить методы обнаружения.

Эксперты выявили тысячи вредоносных образцов, использующих технику BYOVD, чтобы отключать программные средства защиты. На VirusTotal зарегистрировано уже больше 2500 вариантов уязвимой версии 2.0.2 драйвера RogueKiller Antirootkit (truesight.sys), однако реальная цифра может быть ещё выше. Первый образец, выполняющий функции убийцы EDR -систем, был обнаружен в июне 2024 года.

Уязвимость драйвера, связанная с возможностью произвольного завершения процессов, затрагивает все версии ниже 3.4.0. Эта проблема ранее использовалась в PoC-эксплойтах Darkside и TrueSightKiller, появившихся в открытом доступе в ноябре 2023 года. В марте 2024 года SonicWall зафиксировала использование этого драйвера в загрузчике DBatLoader, который отключал защитные механизмы перед доставкой Remcos RAT.

По ряду признаков зловредная кампания может быть связана с группировкой Silver Fox. Об этом свидетельствуют схожие методы атаки, вектор заражения и особенности реализации вредоносного кода. Около 75% жертв атаки находятся в Китае, остальные случаи зафиксированы в Сингапуре и на Тайване.

Распространение вредоносного ПО осуществляется через поддельные сайты с предложениями о скидках на люксовые товары, а также через мошеннические каналы в мессенджерах, таких как Telegram. Первичные вредоносные образцы маскируются под легитимные приложения, загружают уязвимый драйвер и дополнительный вредоносный файл, замаскированный под PNG, JPG или GIF. Вторая стадия атаки включает скачивание очередного вредоноса, который затем активирует модуль EDR-киллера и загружает Gh0st RAT.

Check Point отмечает, что зловредные версии Truesight-драйвера могут загружаться не только на первой стадии атаки, но и непосредственно модулем отключения защиты, если драйвер отсутствует в системе. Это доказывает, что компонент EDR-киллера является неотъемлемой частью атаки, но способен работать и автономно.

Злоумышленники использовали методику BYOVD, чтобы завершать процессы антивирусного и EDR-решений, обходя встроенный в Windows механизм блокировки уязвимых драйверов. Финальной стадией атаки становится внедрение Gh0st RAT в модифицированной версии HiddenGh0st, способной к удалённому управлению заражёнными системами, шпионажу и краже данных.

Microsoft внесла драйвер в список заблокированных 17 декабря 2024 года, закрыв возможность его дальнейшей эксплуатации. Однако, по данным Check Point, изменение структуры исполняемого файла позволяло злоумышленникам обходить даже актуальные механизмы защиты, включая Microsoft Vulnerable Driver Blocklist .