• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

News Medusa использует подписанный вредоносный драйвер для обхода EDR-защиты

1742860277717.webp


Аналитики Elastic Security Labs новую технику атаки, которую использует шифровальщик Medusa для обхода систем защиты EDR (Endpoint Detection and Response). Вредоносный драйвер ABYSSWORKER (smuol.sys), подписанный украденным и уже отозванным сертификатом, маскируется под легитимный драйвер CrowdStrike Falcon, чтобы избежать обнаружения.

Как работает атака?

  • Вредонос внедряется через метод BYOVD (Bring Your Own Vulnerable Driver).​
  • Вместе с драйвером распространяется загрузчик, упакованный с помощью HeartCrypt.​
  • ABYSSWORKER завершает процессы EDR или полностью отключает защитные механизмы.​
  • Поддельный драйвер CSAgent.sys добавляет свой ID в список защищаемых процессов и перехватывает запросы ввода-вывода.​

1742860205888.webp

Масштабы угрозы

На VirusTotal обнаружены десятки образцов ABYSSWORKER, загруженных с августа 2024 по февраль 2025 года. Все они подписаны сертификатами, похищенными у китайских компаний, которые позже были отозваны. На 24 марта детектирование составляет 44 из 72 антивирусов.

Ранее Medusa уже использовала вредоносные драйверы для обхода EDR. В то же время операторы другого шифровальщика, Akira, нашли более простой способ атаки — через уязвимые IoT-устройства в корпоративных сетях.
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

Курс AD