Home Sociedad Controladores firmados de Microsoft utilizados en ataques contra empresas

Controladores firmados de Microsoft utilizados en ataques contra empresas

Destacados actores de amenazas han sido descubiertos explotando controladores de Microsoft firmados legítimamente en intrusiones activas en empresas de telecomunicaciones, externalización de procesos empresariales (BPO), proveedores de servicios de seguridad gestionados (MSSP) y servicios financieros.

Los hallazgos de SentinelLabs, Sophos y Mandiant se comunicaron por primera vez a Microsoft en octubre de 2022. El martes, las cuatro empresas publicaron avisos detallando los ataques.

Las investigaciones sobre estas intrusiones condujeron al descubrimiento del malware Poortry y Stonestop, escribió SentinelLabs, que formaban parte de un pequeño conjunto de herramientas diseñado para terminar los procesos de detección y respuesta antivirus (AV) y de punto final (EDR).

“El equipo de Vigilance DFIR [análisis forense digital y respuesta a incidentes] de SentinelOne observó a un actor de amenazas que utilizaba un controlador malicioso firmado por Microsoft para intentar evadir varios productos de seguridad”, dice el informe técnico de SentinelLabs.

“En observaciones posteriores, el controlador se utilizó con un ejecutable de usuario separado para intentar controlar, pausar y matar varios procesos en los terminales objetivo. En algunos casos, la intención del autor de la amenaza era proporcionar servicios de intercambio de SIM”.

SentinelLabs también dijo que observó a otro actor de amenazas que utilizaba un controlador similar firmado por Microsoft, lo que llevó al despliegue del ransomware Hive contra una entidad de la industria médica.

Según Mandiant, los controladores maliciosos utilizados en estos ataques estaban firmados directamente por Microsoft. Para identificar al proveedor original del software era necesario inspeccionar la firma con el código.

Según el aviso de Mandiant, varias familias distintas de malware, asociadas a distintos actores de amenazas, han sido firmadas con este proceso. La empresa de seguridad identificó aproximadamente nueve nombres de organizaciones únicos asociados con malware firmado con atestación.

Los hallazgos también son mencionados por Sophos, que escribió en su informe que el uso de controladores de dispositivos para sabotear o terminar herramientas de seguridad ha ido en aumento en 2022.

En cuanto a Microsoft, la compañía afirmó que ya ha completado su investigación y ha determinado que la actividad se limitaba al abuso de cuentas específicas del programa de desarrolladores. Explicó además que no se había identificado ningún compromiso.