Выясняем, как хакерам удалось обхитрить систему проверки сертификатов.
Китайская группировка Dragon Breath, известная также как APT-Q-27, могла получить новый инструмент для атак на корпоративные сети. Авторы отчёта Ransom-ISAC обнаружили уязвимый драйвер dragoncore_k.sys с действующей подписью Microsoft WHQL, который позволяет злоумышленникам отключать защитные механизмы Windows и фактически «ослеплять» антивирусы и EDR-системы.
Аналитики связывают находку не только с вредоносной инфраструктурой, но и с сетью подставных компаний, которые, предположительно, помогают китайским кибергруппам легализовать вредоносное ПО.
Специалисты выяснили, что драйвер подписала компания Zhengzhou 403 Network Technology Co., Ltd. Из-за ошибки в обработке IOCTL-запросов драйвер позволяет завершать любые процессы на уровне ядра Windows, включая защищённые системные службы и продукты безопасности. Для атаки достаточно прав локального администратора. После загрузки драйвера злоумышленники могут отключать Microsoft Defender, CrowdStrike Falcon, SentinelOne и другие решения без предупреждений со стороны системы.
Авторы исследования считают, что dragoncore_k.sys создавали именно как наступательный инструмент. Помимо функции завершения процессов, код содержит механизмы обхода песочниц, ограничения частоты действий и подмены параметров командной строки прямо в памяти процессов. Такой подход позволяет скрывать реальную активность вредоносного ПО от систем мониторинга.
Мы в MAX. Простите.
Отдельное внимание специалисты уделили компании Zhengzhou 403. Формально организация зарегистрирована в китайском Чжэнчжоу, однако по указанному адресу обнаружили обычное жилое здание с гостиничными апартаментами и без признаков работы ИТ-компании. Сертификат Extended Validation, использованный для подписи драйвера, позже отозвал центр сертификации GlobalSign из-за злоупотреблений.
Исследование также выявило связь между Zhengzhou 403 и инфраструктурой Dragon Breath. Тем же сертификатом подписывали вредоносные файлы, маскировавшиеся под установщики LetsVPN и Telegram Desktop. Все образцы связывались с одним сервером управления Cobalt Strike — oss-aws.1nb.xyz. Аналитики отмечают, что похожий подход ранее применялся в кампании RONINGLOADER.
Дополнительный интерес вызвала фигура основателя Zhengzhou 403 Чжана Лие. Авторы отчёта нашли возможное пересечение с Wuhan Xiaoruizhi Science and Technology — структурой, которую власти США ранее связывали с группировкой APT31. Прямых доказательств участия Чжана Лие в операциях APT31 пока нет, однако специалисты считают совпадение слишком необычным, чтобы игнорировать.
Microsoft уже получила уведомление о проблеме. Исследователи добиваются добавления dragoncore_k.sys в список уязвимых драйверов Windows, чтобы заблокировать загрузку файла на защищённых системах.