ΑρχικήsecurityΓιατί οι χάκερ χρησιμοποιούν το anti-cheat σύστημα του Genshin Impact;

Γιατί οι χάκερ χρησιμοποιούν το anti-cheat σύστημα του Genshin Impact;

Οι χάκερ κάνουν κατάχρηση ενός driver συστήματος anti-cheat για το εξαιρετικά δημοφιλές παιχνίδι Genshin Impact για να απενεργοποιήσουν το antivirus software ενώ πραγματοποιούν επιθέσεις ransomware.

Δείτε επίσης: Kimsuky: Πώς διασφαλίζει ότι το malware της φτάνει σε έγκυρους στόχους

Το driver/module, “mhypro2.sys”, δεν χρειάζεται το σύστημα προορισμού για να εγκαταστήσει το παιχνίδι και μπορεί να λειτουργήσει ανεξάρτητα ή ακόμη και ενσωματωμένο σε malware, προσφέροντας στους απειλητικούς παράγοντες μια ισχυρή ευπάθεια που μπορεί να απενεργοποιήσει το λογισμικό ασφαλείας.

Ο ευάλωτος driver είναι γνωστός από το 2020 και δίνει πρόσβαση σε οποιαδήποτε process/kernel memory και τη δυνατότητα τερματισμού διεργασιών χρησιμοποιώντας τα υψηλότερα προνόμια.

Οι ερευνητές ανέφεραν το πρόβλημα στον vendor πολλές φορές στο παρελθόν. Ωστόσο, το πιστοποιητικό code-signing δεν έχει ανακληθεί, επομένως το πρόγραμμα μπορεί ακόμα να εγκατασταθεί στα Windows χωρίς να σημάνει συναγερμούς.

Δείτε επίσης: LastPass hacked: Hackers έκλεψαν source code της εταιρείας

Για να γίνουν τα πράγματα χειρότερα, υπήρξαν τουλάχιστον δύο proof-of-concept exploits [1, 2] στο GitHub από το 2020, με πλήρεις λεπτομέρειες σχετικά με τον τρόπο ανάγνωσης/εγγραφής μνήμης πυρήνα με προνόμια kernel mode από τη λειτουργία χρήστη, απαρίθμηση thread και τερματισμό των διαδικασιών.

Κατάχρηση του συστήματος anti-cheat της Genshin Impact

Σε μια νέα έκθεση της Trend Micro, οι ερευνητές είδαν στοιχεία για απειλές που κάνουν κατάχρηση αυτού του driver από τα τέλη Ιουλίου 2022, με παράγοντες ransomware να το χρησιμοποιούν για να απενεργοποιούν τις κατά τα άλλα σωστά διαμορφωμένες λύσεις endpoint protection.

Οι απειλητικοί φορείς χρησιμοποίησαν το «secretsdump» και το «wmiexec» σε ένα στοχευμένο endpoint και, στη συνέχεια, συνδέθηκαν με τον domain controller μέσω RDP χρησιμοποιώντας τα admin credentials.

Η πρώτη ενέργεια που έγινε στον παραβιασμένο μηχάνημα ήταν η μεταφορά του mhyprot2.sys στο desktop μαζί με ένα κακόβουλο εκτελέσιμο «kill_svc.exe», το οποίο χρησιμοποιείται για την εγκατάσταση του driver.

Στη συνέχεια, οι εισβολείς έριξαν το ‘avg.msi’, το οποίο με τη σειρά του ρίχνει και εκτελεί τα ακόλουθα τέσσερα αρχεία:

  • logon.bat – Ένα batch file που εκτελεί το HelpPane.exe, σκοτώνει υπηρεσίες antivirus και άλλες υπηρεσίες και εκτελεί το svchost.exe
  • HelpPane.exe – Ένα κακόβουλο αρχείο που μεταμφιέζεται σε εκτελέσιμο αρχείο Help and Support της Microsoft. παρόμοιο με το kill_svc.exe, εγκαθιστά το mhyprot2.sys και σκοτώνει υπηρεσίες antivirus
  • mhyprot2.sys – Τον ευάλωτο Genshin Impact anti-cheat driver
  • svchost.exe – Το ωφέλιμο φορτίο ransomware

Η Trend Micro σχολιάζει ότι οι απειλητικοί φορείς προσπάθησαν και απέτυχαν τρεις φορές να κρυπτογραφήσουν τα αρχεία στον σταθμό εργασίας που επιτέθηκαν, αλλά οι υπηρεσίες προστασίας από ιούς απενεργοποιήθηκαν με επιτυχία. Τελικά, οι adversaries μετέφεραν το “logon.bat” στο desktop και το εκτέλεσαν χειροκίνητα, κάτι που λειτούργησε.

Δείτε επίσης: Οι χάκερ χρησιμοποιούν το Sliver toolkit ως εναλλακτική για το Cobalt Strike

Τέλος, ο απειλητικός παράγοντας φόρτωσε τον driver, το ransomware και το εκτελέσιμο αρχείο ‘kill_svc.exe’ σε ένα κοινόχρηστο στοιχείο δικτύου για μαζική ανάπτυξη, σκοπεύοντας να μολύνει περισσότερους σταθμούς εργασίας.

Genshin Impact

Η Trend Micro δεν κοινοποίησε ποιο ransomware χρησιμοποιήθηκε σε αυτές τις επιθέσεις.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS