Обнаружена уязвимость нулевого дня в драйвере Windows, связанная с китайскими APT-группировками

Драйвер под названием dragoncore_k.sys был подписан сертификатом, выданным китайской компании Zhengzhou 403 Network Technology. Сертификат был аннулирован GlobalSign за злоупотребление, но к тому моменту он уже использовался для подписи вредоносного кода. Статический реверс-инжиниринг показал, что драйвер содержит обработчик IOCTL-запроса (кода управления вводом-выводом), который принимает от пользователя идентификатор процесса и передает его напрямую функции ZwTerminateProcess без какой-либо проверки. Поскольку вызов происходит с нулевого кольца (Ring 0), ядро Windows считает его доверенным запросом и обходит все механизмы защиты пользовательского режима, включая PPL.

Особую опасность представляет то, что драйвер не просто завершает процессы. Анализ кода выявил встроенный механизм изменения командной строки процесса в памяти. Эта функция атакует фундаментальное допущение всех основных решений для защиты конечных точек: что поле CommandLine в структурах _RTL_USER_PROCESS_PARAMETERS запущенного процесса отражает реальные аргументы, с которыми он был запущен. Патча этого поля из памяти ядра делает детектирование на основе командной строки ненадежным для CrowdStrike Falcon, SentinelOne, Microsoft Defender for Endpoint, Carbon Black и других решений. Это не уязвимость конкретного вендора, а атака на структуру данных ядра, которой вся индустрия доверяет как источнику истины.

Zhengzhou 403 Network Technology, судя по всему, является подставной компанией. Ее уставной капитал составляет минимальный порог в 10 тысяч юаней, а зарегистрированный адрес находится в жилой многофункциональной высотке. Номер 618, где зарегистрирована компания, расположен на шестом этаже, который в основном занят отелем с апартаментами краткосрочного проживания. Никаких признаков реальной операционной деятельности или наличия технологической компании обнаружено не было.

Установлено, что владелец компании Zhang Liye после аннулирования сертификата зарегистрировал новую компанию Zhengzhou Lianliu Network Technology с идентичными характеристиками - минимальный уставной капитал, та же юридическая форма, тот же индивидуальный предприниматель в качестве единоличного учредителя. Такая смена оболочки является характерным признаком операционной безопасности китайских государственных хакеров.

Основная атрибуция этой деятельности относится к группе Dragon Breath APT, известной также как APT-Q-27. Ключевым индикатором стало совпадение с кампанией RONINGLOADER. В предыдущих атаках эта группа использовала подставную программу LetsVPN для обмана жертв, стремящихся обойти интернет-цензуру. Образец letsvpn-3.12.3.exe, подписанный сертификатом Zhengzhou 403, напрямую соответствует этой схеме. Кроме того, архитектура IOCTL-обработчика в dragoncore_k.sys функционально идентична драйверу ollama.sys, который использовался в той же кампании. Разница лишь в коде функции, что указывает на эволюцию одного и того же кода, а не на независимую разработку.

Более того, исследователи обнаружили персональную связь между основателем Zhengzhou 403 и компанией Wuhan Xiaoruizhi Science and Technology, которая уже была официально признана подставной структурой для APT31.

Три образца, подписанные аннулированным сертификатом Zhengzhou 403, используют один и тот же командный сервер CobaltStrike: oss-aws.1nb[.]xyz. Доменное имя имитирует облачные сервисы Alibaba и Amazon для маскировки под легитимный трафик. Сервер обслуживается через китайскую сеть доставки контента NgxFence и блокирует запросы из-за пределов Китая, что является стандартной практикой китайских хакеров для защиты от исследователей безопасности.

Анализ родительских процессов для dragoncore_k.sys на VirusTotal выявил 16 целенаправленных дропперов без единого легитимного родительского процесса. Даты загрузки кластеризуются в узком окне с декабря 2024 по январь 2025, что соответствует скоординированному развертыванию кампании, а не оппортунистическому распространению.

Для специалистов по безопасности критически важно немедленно заблокировать сертификат с серийным номером 4668EDFA623554CF0B48F401 и домен oss-aws.1nb[.]xyz. Внезапное завершение процессов MsMpEng.exe или других встроенных средств защиты без предшествующей деинсталляции должно рассматриваться как потенциальный признак компрометации с использованием этого драйвера.

Domains

• oss-aws.1nb.xyz

URLs

• http://oss-aws.1nb.xyz/

SHA256

• 00c250adb21fd14148f963a92fb5ec21d5eac2cd2f67501f03e28c5e7135422e
• 1da4f7f001d239a54fab50eb7c3cbc985db392a3d4405e19c3a5d2035d591004
• 8fc822b3e285030c6dcb36d7b9a52426e2b3eeaf643a28ef2cfcd1cb0709906f
• ce38c96a69a8a1c6828e11742355c41b878198e08d7efbe73eefa1b5cbe623c5
• da2c58308e860e57df4c46465fd1cfc68d41e8699b4871e9a9be3c434283d50b
• e515a6e0738e699df2b569fafc234c534ac4417f29c2b4684acccda275bfec79