Legacy 驱动程序被滥用以部署 HiddenGh0st 恶意软件

关键要点

• 超过 2,500 次“Truesight.sys”驱动程序的迭代被用于 HiddenGh0st 恶意软件的部署。
• 攻击主要针对中国，伪装成合法应用程序的文件被用来传输驱动程序。
• 研究发现 Truesight 驱动程序的操作不依赖于早期阶段。
• 漏洞利用允许 EDR/AV 杀手模块更有效地定位和禁用安全解决方案相关进程。

根据 的报道，多达 2,500 次旧版 RogueKiller Antirootkit驱动程序“Truesight.sys”的迭代被用于推动 HiddenGh0st 恶意软件的部署。这一事件是一起针对 Windows系统的广泛攻击活动，据信是由 组织实施的。

研究人员的分析揭示，这些攻击主要是针对中国，攻击者通过伪装成合法应用程序的文档来进行操作。其中，这些文档下载了传统的 Truesight驱动程序和第二阶段的有效载荷，后者可以检索到终端检测和响应（EDR）杀手软件以及源自 Gh0st RAT 的 HiddenGh0st 木马。

进一步的研究发现，Truesight 驱动程序具有直接启动 EDR/AV 杀手模块的功能，表明其操作并不是依赖于之前的阶段。“利用任意进程终止漏洞使得 EDR/AV 杀手模块能够锁定并禁用通常与安全解决方案相关的进程，从而进一步增强了攻击的隐蔽性，”研究人员补充说道。