WINTAPIX Kernel Driver IOCs

security IOC

Во время ежедневного поиска угроз в начале февраля Fortinet столкнулись с драйвером ядра, который использовал инструмент Donut.

Donut - это независимый от позиции шеллкод, который загружает сборки .NET, PE-файлы и другие полезные нагрузки Windows из памяти и запускает их с параметрами

Образцом, который привлек внимание, был драйвер под названием WinTapix.sys (поэтому Fortinet назвали его WINTAPIX). Поскольку он использует Donut, Fortinet решили проанализировать его дальше. Оказалось, что это очень интересный образец, который, по мнению Fortinet, используется в целевых атаках на страны Ближнего Востока.

Этот образец был создан в мае 2020 года, но загружен в Virus Total только в феврале этого года. Отталкиваясь от этого образца, Fortinet обнаружили еще один вариант этого драйвера с тем же именем, который был составлен примерно в то же время, но загружен в Virus Total в сентябре 2022 года. Снова отталкиваясь от использованных сертификатов, Fortinet обнаружили еще один вариант драйвера WINTAPIX с именем SRVNET2.SYS. Этот образец был скомпилирован в июне 2021 года и впервые был замечен в дикой природе в декабре 2021 года.

Основываясь на собранной информации, Fortinet полагает, что этот драйвер был активен в дикой природе как минимум с середины 2020 года.

Наблюдаемая телеметрия показывает, что 65% поисков этого драйвера были сделаны в Саудовской Аравии, что указывает на то, что она была основной целью. Эта же телеметрия показывает значительное увеличение числа поисков этого в августе и сентябре 2022 года и снова в феврале и марте 2023 года. Это может указывать на то, что субьект(ы), стоящий(ие) за этим драйвером, проводил(и) крупные кампании в эти даты.

Однако все еще недостаточно информации о том, как распространялся этот драйвер и кто стоял за этими операциями.

Indicators of Compromise

SHA256

  • 1485c0ed3e875cbdfc6786a5bd26d18ea9d31727deb8df290a1c00c780419a4e
  • 27a6c3f5c50c8813ca34ab3b0791c08817c803877665774954890884842973ed
  • 8578bff36e3b02cc71495b647db88c67c3c5ca710b5a2bd539148550595d0330
  • aae9c8bd9db4e0d48e35d9ab3b1a8c7933284dcbeb344809fed18349a9ec7407
  • f6c316e2385f2694d47e936b0ac4bc9b55e279d530dd5e805f0d963cb47c3c0d
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий