I ricercatori di Asec hanno scoperto che ignoti cybercriminali sfruttano una vulnerabilità di Sunlogin per installare il tool Sliver e disattivare gli antivirus attraverso un attacco BYOVD (Bring Your Own Vulnerable Driver) contro i dispositivi Windows. In alti casi sono stati distribuiti un RAT (Remote Access Trojan) e un miner di cryptovalute.
Sliver, Sunlogin e BYOVD
Sliver è un tool di penetration testing sviluppato da Bishop Fox come alternativa al più noto Cobalt Strike. Viene solitamente utilizzato per verificare la presenza di vulnerabilità nelle reti, ma può essere sfruttato anche per attività illecite. Sliver funziona come una backdoor e permette di eseguire comandi, gestire file e processi, caricare file, scattare screenshot ed effettuare l’escalation di privilegi.
Sunlogin è invece un tool di controllo remoto. La vulnerabilità presente in una vecchia versione è stata sfruttata per installare Gh0st RAT e XMRig. Nei recenti attacchi è stato distribuito Sliver attraverso uno script PowerShell. Quest’ultimo esegue una versione modificata del tool Mhyprot2DrvControl che, utilizzando la tecnica BYOVD, carica in memoria il file mhyprot2.sys
, ovvero il driver anti-cheat del gioco Genshin Impact.
Attraverso il driver legittimo viene effettuata un’escalation di privilegi e disattivati i software di sicurezza. Lo script PowerShell scarica inoltre la reverse shell Powercat che consente ai cybercriminali di prendere il controllo del computer. Microsoft spiega come bloccare i driver vulnerabili con la funzionalità Windows Memory Integrity o Windows Defender Application Control (WDAC).