安全研究人员警告,Akira勒索软件近年来频繁滥用一款Intel处理器调优驱动rwdrv.sys,将其注册为服务以获取系统内核级权限,从而禁用Microsoft Defender与其他安全防护工具。攻击者随后借助该驱动加载名为hlpdrv.sys的恶意驱动,并利用regedit.exe修改注册表,将Windows Defender的“DisableAntiSpyware”设置激活,实现持久关闭防护功能。
此攻击方式被归类为“自带有漏洞驱动”(BYOVD),即利用对手签名但存在漏洞的合法驱动获取系统权限,再执行恶意操作。据Guidepoint Security披露,自2025年7月中旬以来,已多次在Akira相关攻击中发现这一技术,并呼吁安全从业者通过其发布的YARA规则和入侵指标(IoCs)及时检测。
值得注意的是,最近Akira还被怀疑通过未知漏洞攻击SonicWall SSLVPN。虽然未确认是否涉及零日漏洞,SonicWall已发布公告建议禁用或限制SSLVPN、强制多因素认证、开启Botnet/Geo-IP防护并移除未用账户。同时,The DFIR Report指出,攻击者还通过SEO投毒传播Bumblebee恶意加载器,从合法IT工具安装包诱使目标下载恶意内容。