Infection par ransomware de Genshin Impact : Les adversaires abusent du pilote anti-triche

Genshin Impact, un jeu de rôle d’action en monde ouvert populaire, est utilisé pour propager des ransomwares. Les acteurs de la menace exploitent mhyprot2.sys, un pilote anti-triche vulnérable, pour terminer les processus et services antivirus afin de déposer des ransomwares. En utilisant le pilote légitime comme rootkit, les adversaires cherchent d’abord à déposer le ransomware sur la machine cible dans le but de propager l’infection à d’autres postes de travail.

Détecter les Exploits de Ransomware

Pour identifier les comportements associés à l’exploitation du pilote vulnérable mhyprot2.sys de Genshin Impact, utilisez le contenu de détection de menace suivant publié par des contributeurs expérimentés de Threat Bounty Kaan Yeniyol and Aykut Gürses:

Détection du Pilote Anti-Triche de Genshin Impact dans l’Activité de Ransomware

The Les règles basées sur Sigma sont référencées dans le cadre MITRE ATT&CK® v.10, et peuvent être appliquées sur 26 solutions SIEM, EDR et XDR prises en charge par la plateforme de SOC Prime.

Le Threat Detection Marketplace héberge plus de 130 000 contenus de détection vérifiés, y compris des détections, alertes, requêtes de chasse et playbooks. Environ 140 nouvelles détections sont ajoutées chaque mois. Cliquez sur le bouton Détecter & Chasser pour accéder au contenu de détection dédié de haute qualité afin d’identifier d’éventuels exploits de ransomware. Pour des informations contextuelles perspicaces, cliquez sur le bouton Explorer le Contexte de Menace , et explorez la liste des règles Sigma pertinentes accompagnées de métadonnées complètes — aucune inscription requise.

Détecter & Chasser Explorer le Contexte de Menace

L’Analyse des Incidents

La divulgation des chercheurs de Trend Micro détaille un abus récent du jeu de rôle Genshin Impact par les acteurs de ransomware. Selon les données de la recherche, les acteurs de la menace exploitent un pilote signé vulnérable responsable des fonctions anti-triche pour le jeu. En abusant de mhyprot2.sys, un pilote du système anti-triche du jeu, les acteurs de ransomware peuvent contourner les privilèges système et terminer les processus de protection des points de terminaison en exécutant des commandes du mode noyau.

Il a également été révélé que cette vulnérabilité existe depuis environ deux ans et reste toujours non corrigée.

En juillet, nous avons introduit quelques améliorations significatives au Programme Threat Bounty de SOC Prime. Apprenez-en plus sur le programme des développeurs de contenu de détection les plus prolifiques du monde cybernétique et assurez votre place parmi les leaders de l’industrie avec SOC Prime.