Злоумышленники начали использовать драйвер TrueSight для отключения средств защиты на Windows перед доставкой выкупного ПО и троянцев удаленного доступа. Атака опирается на более чем 2,500 подписанных вариантов драйвера, что позволяет отключать решения для обнаружения угроз и антивирусные программы.
Выявленные уязвимости и практика
Исследователи Check Point показали, что злоумышленники используют правила подписывания драйверов до 2015 года для запуска уязвимого драйвера на современных Windows 11. Это позволяет запускать драйвер TrueSight с полными привилегиями, обходя средства безопасности Microsoft. Эта техника позволяет надежно отключать инструменты безопасности перед доставкой вредоносного ПО.
По данным MagicSword, злоупотребление драйвером распространилось среди различных групп и регионов, причем появляются новые варианты драйвера еженедельно. Данный метод стал востребованным средством для финансово мотивированных акторов и групп APT.
Как атаки на базе TrueSight угрожают безопасности систем
Механизмы атаки
- TrueSight 2.0.2 позволяет отключать процессы защиты, в том числе агенты EDR и антивирусы.
- Вредоносное ПО работает в контексте ядра, обходя защиту на уровне пользователя.
- Загрузка драйвера приводит к прекращению работы телеметрии и отсутствию оповещений.
- Атака часто начинается с фишинга или ложных сайтов скачивания.
Заключительная фаза атаки предполагает загрузку TrueSight и отключение процессов защиты, что позволяет внедрять HiddenGh0st или другие виды выкупного ПО. От фишинга до полного контроля требуется всего около 30 минут.
