Аналитики Elastic Security Labs
Ссылка скрыта от гостей
новую технику атаки, которую использует шифровальщик Medusa для обхода систем защиты EDR (Endpoint Detection and Response). Вредоносный драйвер ABYSSWORKER (smuol.sys), подписанный украденным и уже отозванным сертификатом, маскируется под легитимный драйвер CrowdStrike Falcon, чтобы избежать обнаружения.
Как работает атака?
- Вредонос внедряется через метод BYOVD (Bring Your Own Vulnerable Driver).
- Вместе с драйвером распространяется загрузчик, упакованный с помощью HeartCrypt.
- ABYSSWORKER завершает процессы EDR или полностью отключает защитные механизмы.
- Поддельный драйвер CSAgent.sys добавляет свой ID в список защищаемых процессов и перехватывает запросы ввода-вывода.
Масштабы угрозы
На VirusTotal обнаружены десятки образцов ABYSSWORKER, загруженных с августа 2024 по февраль 2025 года. Все они подписаны сертификатами, похищенными у китайских компаний, которые позже были отозваны. На 24 марта детектирование составляет 44 из 72 антивирусов.
Ранее Medusa уже использовала вредоносные драйверы для обхода EDR. В то же время операторы другого шифровальщика, Akira, нашли более простой способ атаки — через уязвимые IoT-устройства в корпоративных сетях.
Ранее Medusa уже использовала вредоносные драйверы для обхода EDR. В то же время операторы другого шифровальщика, Akira, нашли более простой способ атаки — через уязвимые IoT-устройства в корпоративных сетях.