Der erste erkennbare Hinweis auf die Kompromittierung war laut Symantec eine unerwartete Instanz von AnyDesk auf einem infizierten Rechner. Die Fernwartungssoftware lag ungewöhnlich im Musik-Ordner des Systems. Wie die Angreifer ursprünglich eindrangen oder welche Social-Engineering-Methode sie einsetzten, konnten die Forscher nicht feststellen.

Einen Tag später legten die Täter auf einem zweiten infizierten Computer eine Binärdatei mit dem Namen symantec.exe ab. Diese installierte PoisonX, einen bösartigen Kernel-Treiber für Windows. Symantec beschreibt den Treiber als besonders problematisch, weil er sicherheitsrelevante Prozesse beendete und API-Hooks im Benutzerraum entfernte. Damit wurden Endpunktschutzlösungen auf den betroffenen Hosts wirksam ausgehebelt.

Anschließend setzte Hyadina ein Arsenal aus 14 verschiedenen Werkzeugen ein. Nach Angaben von Symantec handelte es sich durchweg um Open-Source-Programme für den Diebstahl von Windows-Zugangsdaten und verwandte Spionagefunktionen: darunter Stealer für Browser, E-Mail und Instant Messenger sowie Werkzeuge zum Abfangen von WLAN-Daten und laufendem Netzwerkverkehr. Bis auf Mimikatz stammten alle diese Programme von NirSoft, einer kostenlosen Website für Windows-Hilfsprogramme.

Für die weitere Ausbreitung im Netzwerk nutzte die Gruppe außerdem PsExec. In Kombination mit der kommerziellen RMM-Software, dem signierten Treiber und den Open-Source-Stealern konnte sich Hyadina laut Symantec erfolgreich in der Umgebung des Opfers festsetzen und danach die GodDamn-Ransomware ausbringen.

Brigid O Gorman von Symantec verweist darauf, dass fast jedes Werkzeug in den falschen Händen missbraucht werden könne. Deshalb seien verhaltensbasierte und adaptive Schutzmechanismen wichtig, weil sie verdächtiges Verhalten im Netzwerk blockieren könnten, selbst wenn es von scheinbar legitimen Werkzeugen ausgehe und nicht nur von offensichtlich schädlichen Dateien.

PoisonX wurde am 7. April auf GitHub veröffentlicht. In einem Blogbeitrag bezeichnete die Autorin mit dem Namen „oxfemale“ das Programm als „Forschungswerkzeug“. Laut dem Bericht veröffentlicht sie in hoher Frequenz Red-Team-Werkzeuge, neue Proofs of Concept für Exploits, Zugangsdaten-Stealer und Programme zum Ausschalten von Antivirensoftware. Auf LinkedIn bezeichnet sie sich demnach als russische Sicherheitsforscherin mit Schwerpunkt Reverse Engineering und Penetrationstests. Dark Reading konnte sie nach eigenen Angaben bis zur Veröffentlichung nicht erreichen.

Symantec hat dennoch wenig Zweifel daran, PoisonX als Malware einzuordnen. Laut O Gorman habe der Treiber keinen legitimen Einsatzzweck. Rückblickend sei es leicht zu sagen, dass Microsoft ihn nicht hätte signieren sollen. Unklar sei jedoch, welche Schritte die Angreifer unternommen hätten, um die Signatur zu erhalten, oder wie sie Microsoft dabei getäuscht haben könnten.

Microsoft führt für solche Fälle eine Sperrliste für verwundbare Treiber, die das Laden bekannter gefährlicher Treiber selbst bei vorhandener Signatur verhindern soll, um BYOVD-Angriffe zu erschweren. O Gorman weist jedoch darauf hin, dass zwischen der Identifizierung eines Treibers und der Verteilung einer aktualisierten Sperrliste an Unternehmensendpunkte oft Tage, häufiger sogar Wochen, vergehen. Deshalb sei zu einem gegebenen Zeitpunkt stets nur ein Teil der bekannten gefährlichen Treiber blockiert, während Angreifer sich oft schneller bewegten als die Sperrliste.