美杜莎（Medusa）勒索软件即服务（RaaS）背后的威胁行为者被观察到使用一种名为ABYSSWORKER的恶意驱动程序，作为一种自带易受攻击驱动程序（BYOVD）攻击的一部分，旨在禁用反恶意软件工具。

Elastic Security Labs表示，它观察到了一起美杜莎勒索软件攻击，该攻击通过一种名为HeartCrypt的打包服务（PaaS）打包的加载器传递加密程序。

“这个加载器与一个被撤销证书签名的驱动程序一起部署，该驱动程序来自一家中国供应商，我们将其命名为ABYSSWORKER。它在受害者机器上安装该驱动程序，然后利用它来针对并禁用不同的EDR供应商，”该公司在报告中指出。

所涉及的驱动程序“smuol.sys”模仿了合法的CrowdStrike Falcon驱动程序（“CSAgent.sys”）。在VirusTotal平台上，从2024年8月8日到2025年2月25日，已经检测到数十个ABYSSWORKER的相关文件。所有识别出的样本均使用可能被盗的、已撤销的中国公司证书签名。

恶意软件的签名使其表面上看起来可信，从而能够绕过安全系统而不引起任何注意。值得注意的是，这种终端检测和响应（EDR）杀手驱动程序在2025年1月被ConnectWise以“nbwdv.sys”名称记录。

一旦初始化并启动，ABYSSWORKER旨在将进程ID添加到全局受保护进程列表中，并监听传入的设备I/O控制请求，然后根据I/O控制代码将其分派给适当的处理程序。

“这些处理程序涵盖了广泛的操作，从文件操作到进程和驱动程序终止，提供了一整套可以用于终止或永久禁用EDR系统的工具，”Elastic表示。

以下是一些I/O控制代码的列表：

• 0x222080 - 通过发送密码“7N6bCAoECbItsUR5-h4Rp2nkQxybfKb0F-wgbJGHGh20pWUuN1-ZxfXdiOYps6HTp0X”启用驱动程序
• 0x2220c0 - 加载必要的内核API
• 0x222184 - 复制文件
• 0x222180 - 删除文件
• 0x222408 - 按模块名称终止系统线程
• 0x222400 - 按模块名称移除通知回调
• 0x2220c0 - 加载API
• 0x222144 - 按进程ID终止进程
• 0x222140 - 按线程ID终止线程
• 0x222084 - 禁用恶意软件
• 0x222664 - 重启机器

特别值得注意的是0x222400，它可以通过搜索和移除所有注册的通知回调来使安全产品失效，这种方法也被其他EDR杀手工具如EDRSandBlast和RealBlindingEDR采用。

这些发现紧随Venak Security的一份报告，该报告揭示了威胁行为者如何利用与Check Point的ZoneAlarm防病毒软件相关的合法但易受攻击的内核驱动程序，作为一种BYOVD攻击的一部分，旨在获得提升的权限并禁用Windows安全功能，如内存完整性。

威胁行为者随后滥用特权访问，建立了对感染系统的远程桌面协议（RDP）连接，从而实现持久访问。Check Point已对此漏洞进行了修复。

“由于vsdatant.sys以高等级内核权限运行，攻击者能够利用其漏洞，绕过安全保护和防病毒软件，完全控制感染的机器，”该公司表示。

“在这些防御被绕过后，攻击者完全访问了底层系统，能够获取敏感信息，如用户密码和其他存储的凭证。这些数据随后被外泄，为进一步的利用打开了大门。”

这一发展与RansomHub（又名Greenbottle和Cyclops）勒索软件行动有关，该行动被归因于至少一名其附属机构使用一种之前未记录的多功能后门，代号为Betruger。

这一植入物具有通常与作为勒索软件前奏的恶意软件相关的特征，如截屏、键盘记录、网络扫描、权限提升、凭证转储和数据外泄到远程服务器。

“Betruger的功能表明，它可能是为了在准备勒索软件攻击时，尽量减少在目标网络上投放的新工具数量而开发的，”Broadcom旗下的Symantec表示，并将其描述为与勒索软件团体为数据外泄开发的其他自定义工具有所不同。

“在勒索软件攻击中，使用除加密有效载荷之外的自定义恶意软件相对不寻常。大多数攻击者依赖于合法工具，利用现有资源，以及公开可用的恶意软件，如Mimikatz和Cobalt Strike。”