گروه باجافزار Medusa تحت عنوان سرویس (RaaS) در حملات خود از درایور مخرب ABYSSWORKER در چارچوب تکنیک BYOVD جهت غیرفعالسازی ابزارهای ضد بدافزار استفاده میکند.
Elastic Security Labs در گزارشی گفت که گروه در یکی از حملات خود از لودر محافظت شده با سرویس PaaS به نام HeartCrypt برای تحویل رمزگذار باجافزار استفاده میکند. لودر همراه با درایور دارای گواهینامه لغو شده از شرکت چینی که آن را ABYSSWORKER نامگذاری کردند، نصب و برای هدف قرار دادن و از کار انداختن EDRهای مختلف به کار گرفته شد. درایور مخرب “smuol.sys” که به CrowdStrike Falcon (CSAgent.sys) شباهت دارد، به عنوان ابزار مخرب برای از بین بردن راهکارهای امنیتی عمل میکند. امضای دیجیتالی درایور باعث میشود که به عنوان نرمافزار معتبر شناخته شود و بدون جلب توجه، از سد مکانیزمهای امنیتی عبور کند. پس از اجرا، ABYSSWORKER شناسه پردازش خود را به فهرست پردازشهای محافظت شده اضافه و به درخواستهای I/O کنترل دستگاه پاسخ میدهد.
https://thehackernews.com/2025/03/medusa-ransomware-uses-malicious-driver.html
