卡巴斯基发现用于控制笔记本电脑处理器性能的免费工具ThrottleStop存在一个漏洞,该漏洞已被MedusaLocker勒索软件运营者在最近针对一家巴西公司的攻击中利用。攻击者将此漏洞与一种已知恶意软件的新变种结合起来,该变种能够降低系统的防御能力。卡巴斯基在一起事件调查过程中发现了这一威胁,并已向软件开发商提交漏洞报告。经确认,卡巴斯基安全解决方案可有效检测并拦截此类恶意软件。
ThrottleStop是一款由TechPowerUp提供支持的免费软件,被许多想要更好地控制其中央处理器 (CPU) 行为的个人用户广泛使用——例如,可用来降低发热和功耗,或在笔记本电脑上实现更流畅的性能。
卡巴斯基全球应急响应团队(GERT)专家在调查一起涉及MedusaLocker勒索软件的攻击事件时,发现了ThrottleStop软件中的漏洞。该漏洞的编号为CVE-2025-7771。MedusaLocker勒索软件发现于2019年9月,以勒索软件即服务 (RaaS) 的模式传播。该勒索软件主要攻击教育、政府、医疗保健和科技行业的组织机构以谋取经济利益,其攻击活动主要集中在欧洲和中东地区。
卡巴斯基发现攻击者使用了一种能够禁用EDR的恶意软件[1]——这类恶意软件正变得越来越普遍——并将其与存在漏洞的ThrottleStop.sys驱动程序捆绑分发。通过一系列技术操作,该漏洞使攻击者能够以内核模式运行其恶意代码,从而导致权限提升,禁用已部署的EDR,并允许他们激活勒索软件。网络犯罪分子的最终目标是通过勒索软件活动加密有价值的文件。
“ThrottleStop是一款面向个人笔记本电脑的消费级工具——企业通常不会使用它,因为企业有严格的安全策略。在此次观察到的事件中,该工具与禁用 EDR 的恶意软件捆绑在一起进行分发。该驱动程序存在漏洞的版本暴露了两个所谓的 IOCTL 接口(用户与系统间的特殊通信通道),使得普通软件能够直接读写物理内存。这种不安全的设计可能被恶意行为者利用来修改Windows内核并以最高权限执行内核函数,”卡巴斯基全球应急响应团队事件响应专员Cristian Souza表示。
卡巴斯基产品将此事件中遇到的威胁检测为:
● Trojan-Ransom.Win32.PaidMeme.* (MedusaLocker variant)
● Trojan.Win64.KillAV.* (AV killer)
根据卡巴斯基的遥测数据及公开威胁情报来源的信息,受此特定EDR禁用恶意软件变种攻击影响的受害者主要集中在俄罗斯、白俄罗斯、哈萨克斯坦、乌克兰和巴西。EDR禁用恶意软件是一种常见的恶意软件,各种威胁行为者都在使用,包括但不限于MedusaLocker.u。
“虽然专门用于禁用安全软件的恶意程序是已知的攻击手段,但我们最新研究中讨论的这个变种似乎是新发现的版本。根据相关证据,该恶意软件至少从2024年10月起就已在网络犯罪领域传播,“Cristian Souza解释说:“这凸显了现在网络罪犯的攻击能力,同时强调了使用具有内置自防御机制的安全解决方案(例如卡巴斯基的解决方案)的重要性。这些解决方案内置的防护功能能够有效阻止内存进程篡改、硬盘应用文件删除以及系统注册表项变更等恶意操作。这些防护特性有助于有效应对各种类型的能够禁用EDR的恶意软件,包括我们新研究中描述的恶意软件。”
关于这次攻击事件的详细分析已发布在Securelist。为防范类似攻击,我们建议企业采取以下最佳实践:
● 使用能够监测操作系统中已知漏洞驱动程序的安全解决方案。
● 必须实施严格的加固措施以保护服务器免受暴力破解攻击,并限制远程访问协议的公开暴露。
● 系统管理员应实施最小权限访问、应用程序白名单、网络分段以及远程访问的多因素认证(MFA)等安全措施。他们还必须维护补丁管理,使用自动漏洞扫描,部署入侵检测/入侵防御系统和EDR工具进行威胁检测,进行全面的日志记录和监控,并定期进行安全评估和渗透测试以验证防御措施。
● 威胁防护服务应实施自防御机制以防止此类攻击。这包括保护应用程序文件免遭未经授权的修改、监控内存进程以及定期更新客户设备上的检测规则。
● 采用卡巴斯基提供的托管安全服务,例如托管检测与响应(MDR)和/或事件响应服务,覆盖整个事件管理周期——从威胁识别到持续保护和修复。 这有助于防范隐蔽的网络攻击,调查事件并获得额外专业支持,即使公司缺乏网络安全人员。
● 为了保护公司免受各种威胁,请使用卡巴斯基Next产品线中的解决方案,该产品线为各行业、各规模企业提供实时防护、威胁可见性、调查取证以及EDR/XDR响应能力。根据您当前的需求和可用资源,您可以选择最相关的产品层级,如果您的网络安全要求发生变化,可以轻松迁移到另一个层级。
卡巴斯基安全服务
每年为全球财富500强组织交付数百个信息安全项目,包括:事件响应、托管检测、SOC咨询、红队测试、渗透测试、应用程序安全、数字风险保护。全球紧急响应团队是安全服务的一部分,每年处理数百起事件,从而构建清晰的攻击图景并分享响应建议。
[1] EDR——端点检测和响应
关于卡巴斯基
卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。迄今为止,卡巴斯基已保护超过十亿台设备免受新兴网络威胁和针对性攻击。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的个人用户、企业、关键基础设施和政府提供安全保护。该公司全面的安全产品组合包括领先的个人设备数字生活保护、面向企业的专业安全产品和服务,以及用于对抗复杂且不断演变的数字威胁的网络免疫解决方案。我们为数百万个人用户及近20万企业客户守护他们最珍视的数字资产。要了解更多详情,请访问www.kaspersky.com。
