ESET unterscheidet in seiner Analyse zwei interne Typen der Windows-Version, die als WIN_DRV und WIN_PLUS bezeichnet werden. Beide übernehmen die Kernfunktionen früherer SprySOCKS-Varianten. Die Ausführung WIN_DRV ergänzt diese jedoch um Kernel-Treiber für eine besonders weitreichende Tarnung.
Konkret verwendet WIN_DRV zwei verschlüsselte Kernel-Treiber. Der erste heißt fsdiskbit.sys und wird von ESET als „DriverLoader“ bezeichnet. Er wird über den SprySOCKS-Loader ausgeliefert und hat laut Bericht nur eine Aufgabe: den zweiten Kernel-Treiber namens „RawWNPF“ direkt in den Arbeitsspeicher des Zielsystems zu laden.
Der Treiber RawWNPF verbirgt anschließend die schädlichen Aktivitäten der Backdoor und lässt sich über eigene I/O-Kontrollcodes, also IOCTLs, steuern. Weil solche Treiber privilegierten Zugriff auf den Windows-Kernel haben, können sie Sicherheitsprozesse beenden oder, wie im Fall von SprySOCKS, Prozesse und Dateien der Malware verbergen, indem sie bestimmte Systemaufrufe abfangen und deren Ausgabe verändern.
Als Beispiel nennt ESET das Verstecken von Prozessen über das Einklinken in den Windows-Systemaufruf NtQuerySystemInformation. „Wenn einer der über diese Programmierschnittstelle abgerufenen Prozesse mit einem Prozess aus der Liste der vom Treiber zu verbergenden Prozesse übereinstimmt, entfernt der Treiber diesen Prozess aus der Ausgabe der Funktion“, schreiben die Forscher in ihrem Bericht.
Bemerkenswert ist auch die Signierung des DriverLoader-Treibers. Nach Angaben von ESET wurde er mit einem digitalen Zertifikat signiert, das auf GitHub im Open-Source-Projekt PastDSE offengelegt war. Dadurch ließ sich der Treiber laut ESET auf „mindestens einigen veralteten oder falsch konfigurierten Systemen“ laden. Wie lange das Code-Signing-Zertifikat bereits offengelegt ist, bleibt unklar. Martin Smolár, leitender Malware-Forscher bei ESET, sagte gegenüber Dark Reading, soweit er wisse, sei es bislang nicht widerrufen worden.
Smolár betonte zugleich, dass sich der Fall von typischen Missbrauchsszenarien mit verwundbaren legitimen Treibern unterscheidet. Solche legitimen Treiber würden von Angreifern oft für Werkzeuge wie EDR-Killer missbraucht, was die Abwehr erschwere, weil ein Blockieren Systemabstürze auslösen könne. Bei SprySOCKS sei das anders: „Alle hier missbrauchten Treiber sind bösartig und sollten erkannt werden.“
Wie FishMonger in die Netzwerke der Opfer eindrang, konnte ESET nicht belegen. Die Forscher verweisen jedoch darauf, dass die Gruppe in der Vergangenheit N-Day-Schwachstellen in öffentlich erreichbaren Servern ausgenutzt hat. „Auch wenn wir den genauen Weg von FishMonger in die Systeme der Opfer in dieser Kampagne nicht bestätigen konnten, legen das Vorhandensein eines Server-Betriebssystems auf einigen Geräten der Opfer zusammen mit dem typischen Vorgehen von FishMonger nahe, dass die Angreifer durchaus über falsch konfigurierte oder ungepatchte öffentlich erreichbare Anwendungen eingedrungen sein könnten“, heißt es in dem Bericht.
Zusätzlich meldet ESET „begrenzte Hinweise“, dass einige der jüngeren SprySOCKS-Angriffe eine UEFI-Bootkit-Komponente enthalten haben könnten, möglicherweise unter Ausnutzung von CVE-2023-24932. ESET hat für Verteidiger Kompromittierungsindikatoren veröffentlicht, darunter Dateinamen und die fest einprogrammierte IP-Adresse des Command-and-Control-Servers. Außerdem empfiehlt das Unternehmen Sicherheitsteams in Unternehmen, die Windows-Funktion Hypervisor-geschützte Codeintegrität (HVCI) zu aktivieren, die das Laden bösartiger Treiber verhindert.