Eine umfangreiche Malware-Kampagne nutzt eine Sicherheitslücke im Windows-Treiber Truesight.sys, der zu Adlice’s Produktreihe gehört, aus um Erkennungsmaßnahmen zu umgehen und die Gh0st RAT-Malware zu verbreiten. Die Angreifer generierten absichtlich verschiedene Varianten des Treibers 2.0.2, indem sie bestimmte Teile der PE-Datei modifizierten, während sie die digitale Signatur des Treibers beibehielten. Das Cyber-Sicherheitsunternehmen Check Point erklärte, dass die bösartigen Aktivitäten Tausende von ersten schadhafter Softwareproben umfassen, die dazu dienen, Programme zu installieren, die das Endpoint Detection and Response (EDR)-System durch sogenannte „Bring Your Own Vulnerable Driver“ (BYOVD)-Angriffe deaktivieren.

Auf der VirusTotal-Plattform wurden bis zu 2.500 Varianten des veralteten Truesight.sys-Treibers entdeckt, was jedoch vermutlich nur einen Bruchteil der tatsächlichen Anzahl darstellt. Diese Treiber-Varianten beinhalten ein EDR-Killer-Modul, das zum ersten Mal im Juni 2024 dokumentiert wurde. Ein Fehler in der Truesight-Treiber-Version 2.0.2 ermöglicht eine willkürliche Prozessbeendigung und wurde bereits für Proof-of-Concept-Exploits wie Darkside und TrueSightKiller verwendet, die mindestens seit November 2023 öffentlich zugänglich sind.

Im März 2024 wurde von SonicWall ein Loader namens DBatLoader entdeckt, der ebenfalls den Truesight-Treiber ausnutzte, um Sicherheitslösungen zu deaktivieren, bevor er die Remcos RAT-Malware auslieferte. Hinweise deuten darauf hin, dass die Kampagne von der Bedrohungsgruppe Silver Fox APT stammt, was durch Ähnlichkeiten in der Ausführung und im Targeting unterstützt wird. Etwa 75 % der Opfer befinden sich in China, der Rest hauptsächlich in Singapur und Taiwan.

Die Angriffsketten beginnen mit bösartigen Artefakten, die oft als legitime Anwendungen getarnt sind und über betrügerische Websites und gefälschte Kanäle in Messaging-Apps verbreitet werden. Diese Proben fungieren als Downloader, der die alte Version des Truesight-Treibers sowie eine weitere Malware-Phase ablegt. Diese zweite Stufe lädt die EDR-Killer-Malware und die Gh0st RAT-Malware nach. Auch wenn die Varianten des Truesight-Treibers durch die ersten Proben installiert werden, können sie auch durch das EDR/AV-Killer-Modul installiert werden, falls der Treiber noch nicht auf dem System vorhanden ist.

Das EDR/AV-Killer-Modul verwendet die BYOVD-Technik, um den anfälligen Treiber auszunutzen und Prozesse zu beenden, die mit Sicherheitssoftware verbunden sind, wodurch der Angriff den Microsoft Vulnerable Driver Blocklist-Mechanismus umgeht. Die Angriffe gipfeln in der Bereitstellung einer Variante der Gh0st RAT, die als HiddenGh0st bezeichnet wird und den Angreifern Fernzugriff auf kompromittierte Systeme gewährt, um Daten zu stehlen und Überwachungen durchzuführen. Ab dem 17. Dezember 2024 hat Microsoft die Treiberblockliste aktualisiert, um den betroffenen Treiber zu blockieren.

Durch das Modifizieren bestimmter Teile des Treibers, während die digitale Signatur erhalten bleibt, konnten die Angreifer gängige Erkennungsmechanismen umgehen und über Monate hinweg unentdeckt bleiben. Die Ausnutzung der Schwachstelle zur Prozessbeendigung hat den Angreifern geholfen, die Sicherheitslösungen noch effektiver zu umgehen.