Исследователи компании GuidePoint Security зафиксировали новую тактику, используемую злоумышленниками из группировки Akira при атаках, связанных с эксплуатацией уязвимостей в продуктах SonicWall. Аналитики обнаружили систематическое использование вредоносных драйверов для обхода антивирусных систем (AV) и систем предотвращения вторжений (EDR) после первоначального проникновения в корпоративные сети.
Описание
Контекст атак
С конца июля по начало августа 2025 года несколько компаний, занимающихся кибербезопасностью, сообщили о серии инцидентов, где злоумышленники использовали VPN-решения SonicWall для развертывания шифровальщика Akira. Хотя часть экспертного сообщества предполагает наличие нераскрытой уязвимости нулевого дня (zero-day) в устройствах SonicWall, производитель официально не подтвердил эту информацию. SonicWall признал факты атак, выпустив рекомендации по усилению защиты, включая отключение сервисов SSLVPN (где это возможно), ограничение доступа VPN по доверенным IP-адресам, включение защиты от ботнетов и Geo-IP фильтрации, обязательное использование многофакторной аутентификации (MFA), удаление неиспользуемых учетных записей и соблюдение строгой парольной политики.
Механизм работы вредоносных драйверов
В ходе расследования нескольких инцидентов специалисты GuidePoint Incident Response выявили устойчивую схему, применяемую аффилированными с Akira лицами. Злоумышленники внедряют два специфических драйвера Windows, используя технику "Bring Your Own Vulnerable Driver" (BYOVD) для отключения или обхода защитных решений:
1. Драйвер rwdrv.sys: Легитимный драйвер, связанный с утилитой мониторинга и настройки производительности процессоров Intel ThrottleStop. Злоумышленники регистрируют его как системную службу. По оценке экспертов, его основная цель - получение злоумышленниками привилегий уровня ядра операционной системы (kernel-level access), что критически ослабляет защиту атакуемого устройства.
2. Драйвер hlpdrv.sys: Вредоносный компонент, также регистрируемый как служба. После выполнения он целенаправленно отключает защитные функции Windows Defender путем модификации системного реестра. Конкретно, драйвер изменяет параметр "DisableAntiSpyware" по пути "\REGISTRY\MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\". Для этого используется запуск системной утилиты "regedit.exe". Аналитики предполагают, что легитимный "rwdrv.sys" может использоваться для обеспечения выполнения вредоносного "hlpdrv.sys", хотя точный механизм взаимодействия пока не воспроизведен. Известен SHA-256 хэш вредоносного файла: bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56.
Значимость обнаружения и рекомендации
GuidePoint Security подчеркивает высокую частоту использования данной связки драйверов в недавних инцидентах с вымогателем Akira. Это делает их надежным индикатором компрометации (IoC). Эксперты предлагают использовать эти данные как для упреждающего обнаружения атак на ранних стадиях (до запуска шифрования), так и для ретроспективного поиска угроз в логах систем. Для помощи защитникам компания опубликовала YARA-правило, разработанное на основе анализа строковых констант, условий и импортов вредоносного драйвера "hlpdrv.sys".
Специалисты настоятельно рекомендуют организациям, использующим SonicWall VPN, незамедлительно применить комплекс мер, предложенных производителем: отключить SSLVPN-сервисы при возможности, ограничить подключения к SSLVPN доверенными IP-адресами, активировать защиту от ботнетов и Geo-IP фильтрацию, внедрить строгую многофакторную аутентификацию, удалить неактивные учетные записи и обеспечить соблюдение строгой парольной гигиены.
Поиск в системных журналах упомянутых драйверов ("rwdrv.sys" и "hlpdrv.sys"), а также применение YARA-правила могут стать ключевыми действиями для выявления активности злоумышленников на этапе подготовки к атаке или в ходе реагирования на инцидент. Первые случаи использования этой тактики датируются как минимум 15 июля 2025 года. Мониторинг за появлением этих драйверов в системе рассматривается экспертами как критически важный элемент защиты от текущей волны атак группировки Akira.
Индикаторы компрометации
SHA256
- 16f83f056177c4ec24c7e99d01ca9d9d6713bd0497eeedb777a3ffefa99c97f0
- bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 | import "pe" rule hlpdrv_sys_driver_malware { meta: author = "GuidePoint Research and Intelligence Team" date = "2025-08-05" family = "BYOVD / hlpdrv.sys" description = "Detects malicious hlpdrv.sys driver using PE layout, imports, and strings" sha256 = "bd1f381e5a3db22e88776b7873d4d2835e9a1ec620571d2b1da0c58f81c84a56" strings: $filename = "hlpdrv.sys" ascii nocase $svc = "HlpDrv" wide ascii $device = "\\Device\\KMHLPDRV" wide ascii $link = "\\DosDevices\\KMHLPDRV" wide ascii $reg = "SYSTEM\\CurrentControlSet\\Services\\HlpDrv" wide $pdb = "hlpdrv.pdb" ascii condition: // Validate PE file and size uint16(0) == 0x5A4D and pe.is_pe and filesize < 100KB and // Section layout checks pe.number_of_sections == 6 and pe.sections[0].name == ".text" and pe.sections[1].name == ".rdata" and pe.sections[2].name == ".data" and pe.sections[3].name == ".pdata" and pe.sections[4].name == "INIT" and pe.sections[5].name == ".reloc" and // Require at least 7 of 9 imports (7 of ( pe.imports("ntoskrnl.exe", "ZwSetSecurityObject"), pe.imports("ntoskrnl.exe", "ZwTerminateProcess"), pe.imports("ntoskrnl.exe", "RtlCreateSecurityDescription"), pe.imports("ntoskrnl.exe", "RtlSetDaclSecurityDescription"), pe.imports("ntoskrnl.exe", "IoCreateSymbolicLink"), pe.imports("ntoskrnl.exe", "IoDeleteDevice"), pe.imports("ntoskrnl.exe", "IoCreateDevice"), pe.imports("ntoskrnl.exe", "PsProcessType"), pe.imports("ntoskrnl.exe", "PsLookupProcessByProcessId") )) and // Require at least 3 unique artifact strings 3 of ($filename, $svc, $device, $link, $reg, $pdb) } |
