BYOVD

Selon le Counter Threat Unit (CTU), le groupe se présentant comme Warlock Group (suivi comme GOLD SALEM) mène depuis mars 2025 des intrusions suivies du déploiement du ransomware Warlock. Microsoft le piste sous l’appellation Storm-2603 et évoque avec « confiance modérée » une origine en Chine, une attribution que le CTU ne corrobore pas faute d’éléments suffisants. 🚨 Activité et victimologie. Le DLS (site de fuite sur Tor) de GOLD SALEM liste 60 victimes à la mi-septembre 2025, de petites entités jusqu’à de grands groupes, en Amérique du Nord, Europe et Amérique du Sud. Le groupe publie des données pour 19 victimes (32%) et affirme en avoir vendu pour 27 (45%), trois entrées ayant été retirées. Il a surtout évité Chine et Russie, mais a listé le 8 septembre une entreprise russe du secteur de l’ingénierie pour la production électrique, ce qui suggère une activité hors de cette juridiction. Le DLS est alimenté par vagues avec une date « countdown » à J+12/14, et inclut parfois des victimes déjà exposées par d’autres opérations ransomware, illustrant des accès revendus ou des compromissions répétées. ...

Source: Quarkslab (blog). Contexte: publication de recherche détaillant l’exploitation d’un pilote Lenovo vulnérable permettant une élévation locale de privilèges via techniques BYOVD et manipulations de registres MSR. L’analyse décrit des failles dans le pilote Windows de Lenovo LnvMSRIO.sys (CVE-2025-8061) permettant des opérations arbitraires de lecture/écriture de mémoire physique et la manipulation de registres MSR, ouvrant la voie à une exécution de code au niveau noyau et au vol du jeton SYSTEM. Les auteurs montrent comment des attaquants peuvent contourner des protections Windows telles que Driver Signature Enforcement (DSE), SMEP et SMAP via la technique Bring Your Own Vulnerable Driver (BYOVD). ...

Selon Binarly Research, une étude sur l’écosystème UEFI met en évidence une faiblesse systémique de Secure Boot: des modules signés, notamment des shells UEFI, peuvent être exploités pour contourner la vérification de signature et exécuter du code non signé au niveau firmware. Découverte clé: plus de 30 shells UEFI signés et approuvés chez de grands OEM créent des vecteurs d’attaque. L’analyse de 4 000 images firmware montre que les plateformes modernes font confiance à environ 1 500 modules signés en moyenne (certaines dépassent 4 000), élargissant fortement la surface d’attaque. Des centaines d’appareils de sept OEM sont concernés. 🔐 ...

Source: Check Point Research (CPR). CPR publie une analyse d’une campagne active attribuée à l’APT Silver Fox exploitant des drivers noyau signés mais vulnérables pour contourner les protections Windows et livrer le RAT ValleyRAT. • Les attaquants abusent de drivers basés sur le SDK Zemana Anti‑Malware, dont un driver WatchDog Antimalware non listé et signé Microsoft (amsdk.sys 1.0.600), pour l’arrêt arbitraire de processus (y compris PP/PPL) et la neutralisation d’EDR/AV sur Windows 10/11. Un second driver (ZAM.exe 3.0.0.000) sert la compatibilité legacy (Windows 7). Les échantillons sont des loaders tout‑en‑un avec anti‑analyse, drivers intégrés, logique de kill EDR/AV et un downloader ValleyRAT. ...

Les chercheurs de Kaspersky ont découvert un nouveau malware, surnommé AV killer, qui exploite le driver légitime ThrottleStop.sys pour désactiver les processus de sécurité en utilisant des techniques BYOVD (Bring Your Own Vulnerable Driver). Cette menace a été active depuis octobre 2024, ciblant principalement des victimes en Russie, Biélorussie, Kazakhstan, Ukraine et Brésil dans le cadre de campagnes de ransomware MedusaLocker. L’accès initial a été obtenu via des attaques RDP brute force, suivi par l’utilisation de Mimikatz pour l’extraction de crédentiels, permettant ensuite un mouvement latéral avant le déploiement de l’AV killer pour désactiver les défenses à travers le réseau. ...