黑客在勒索软件攻击中使用Microsoft批准的硬件驱动程序

• Sophos X-Ops Rapid Response 在一些受感染的机器上发现了一对遗留的文件。
• 其中一个文件是经过加密签名的 Windows 驱动程序，它们协同工作以终止端点安全产品供应商使用的进程或服务。
• 该团队私下向微软报告了这一事件，并在不久之后发布了一份关于该漏洞的公告。

---

Sophos的网络安全研究人员揭示了一个名为 Cuba的臭名昭著的勒索软件组织使用的一种不寻常的方法。攻击者利用 Microsoft 批准的硬件驱动程序中的漏洞发起勒索软件攻击。该团队在调查客户网络上的可疑​​活动时注意到了这一事件。 

签名的驱动程序恶意软件

Sophos X-Ops Rapid Response (RR) 在一些受感染的机器上发现了一对遗留的文件。这两个文件在协同工作时可以终止各种端点安全产品供应商使用的进程或服务。该团队将攻击者从系统中移除，以防止进一步的破坏。但不可能知道攻击者打算部署哪种勒索软件。

考虑到技术和留下的文件，团队有了线索。分析表明，可执行文件是加密签名的 Windows 驱动程序和旨在安装驱动程序的可执行“加载程序”应用程序。在禁用端点安全工具的失败尝试中串联使用了这些文件。该团队表示，他们有强有力的证据表明它是恶意软件的一个变种，Mandiant 将其命名为BURNTCIGAR。

该公司私下向微软报告了这个问题，这家科技巨头发布了一份关于它的咨询。Sophos 发现最新事件与 PAN 和 Mandiant 报告中引用的早期样本以及在 VirusTotal 上发现的其他样本之间存在一些相似之处：

• 驱动程序的命名方案以及安装的符号链接名称相同或相似。在 PAN 的报告中，该驱动程序称为 ApcHelper.sys。事件中使用的驱动程序名为 KApcHelper.sys。到目前为止，该团队尚未通过遥测审查发现任何潜在的误报。
• 该事件和 PAN 报告中的事件都与古巴勒索软件有关，具有很高的可信度。
• 虽然并非所有样本都具有相同的 PE 文件元数据，但该团队注意到，该团队分析的事件中的 Microsoft 签名驱动程序与驱动程序共享相同的 PE 标头时间戳 (2022:06:02 10:09:08+00:00)由珠海联成科技有限公司（ZLT）和北京JHI司机签署。