Silver Fox, Vallereyrat kötü amaçlı yazılımları dağıtmak için Microsoft tarafından imzalanan bekçi sürücüsünden istismar


Tehdit oyuncusu olarak bilinen Gümüş tilki Meydan okulu ana bilgisayarlara yüklenen güvenlik çözümlerini engellemeyi amaçlayan kendi savunmasız sürücünüzü (BYOVD) saldırısının bir parçası olarak WatchDog Anti-Malware ile ilişkili daha önce bilinmeyen savunmasız bir sürücünün kötüye kullanılmasına atfedilmiştir.

Söz konusu savunmasız sürücü, Zemana Malware Anti SDK üzerine oluşturulduğu değerlendirilen 64 bit, geçerli bir Windows çekirdek aygıt sürücüsü olan “AMSDK.SYS” (sürüm 1.0.600).

Check Point bir analizde, “Zemana Anti-Malware SDK üzerine inşa edilen bu sürücü, Microsoft imzalandı, Microsoft Fornermled sürücü blok listesinde listelenmedi ve Loldrivers gibi topluluk projeleri tarafından tespit edilmedi.” Dedi.

Saldırı, Windows 7 makineleri için bilinen bir savunmasız Zemana sürücüsünün (“Zam.exe”) kullanıldığı çift sürücü stratejisi ve Windows 10 veya 11’de çalışan sistemler için tespit edilmemiş bekçi sürücüsü ile karakterize edilir.

WatchDog Malware karşıtı sürücünün, ilk ve en önemlisi, sürecin korunan (PP/PPL) çalışıp çalışmadığını doğrulamadan keyfi süreçleri sonlandırma yeteneği olan birden fazla güvenlik açığı içerdiği bulunmuştur. Ayrıca, bir saldırganın sürücünün cihazına sınırsız erişim kazanmasına izin veren yerel ayrıcalık artışına da duyarlıdır.

Denetim ve ötesi

Kampanyanın ilk olarak Mayıs 2025’in sonlarında Check Point tarafından tespit edilen nihai hedefi, bu savunmasız sürücüleri uç nokta koruma ürünlerini nötralize etmek için kullanmaktır ve imza tabanlı savunmaları tetiklemeden kötü amaçlı yazılım dağıtım ve kalıcılık için net bir yol oluşturmaktır.

Daha önce gözlemlendiği gibi, kampanya, Tehdit Oyuncusuna uzaktan erişim ve kontrol özellikleri sağlayarak Vallereyrat’ı (diğer adıyla Winos 4.0) teslim etmek için tasarlanmıştır. Siber güvenlik şirketi, saldırıların hepsi bir arada bir yükleyici kullandığını, anti-analiz özelliklerini, iki gömülü sürücüyü, antivirüs katil mantığını ve bir ikili olarak Vallevrat DLL indiricisini kapsayan bir şekilde kullandığını söyledi.

Check Point, “Yürütme üzerine, örnek, anti-VM (sanal ortamların tespiti), sandbox anti-sandbox (bir kum havuzunda yürütme tespiti), hipervizör tespiti ve diğerleri gibi birkaç yaygın anti-analiz kontrolü gerçekleştiriyor.” Dedi. “Bu kontrollerden herhangi biri başarısız olursa, yürütme iptal edilir ve sahte bir sistem hata mesajı görüntülenir.”

İndirici, modüler Vallerat arka kapısını enfekte makineye getirmek için bir komut ve kontrol (C2) sunucusu ile iletişim kurmak için tasarlanmıştır.

Sorumlu açıklamanın ardından WatchDog, keyfi bir süreç sonlandırma sorununu takmamakla birlikte, güçlü bir isteğe bağlı erişim kontrol listesi (DACL) uygulayarak LPE riskini ele almak için bir yama (sürüm 1.1.100) yayınladı. Bu da, saldırganların Microsoft’un imzasını geçersiz kılmadan sadece tek bir baytı değiştirerek değiştirilmiş versiyonu hızla uyarlamasına ve dahil etmesine neden olan yan etkiye sahipti.

Check Point, “Kimliği doğrulanmamış zaman damgası alanında tek bir bayt çevirerek, yeni bir dosya karma oluştururken sürücünün geçerli Microsoft imzasını koruduklarını ve karma tabanlı blok listelerini etkili bir şekilde atladılar.” “Bu ince ama verimli kaçırma tekniği, önceki kampanyalarda görülen kalıpları yansıtıyor.”

“Bu kampanya, tehdit aktörlerinin bilinmeyen, imzalı sürücüleri silahlandırmak için bilinen zayıflıkların ötesine geçtiklerini gösteriyor-birçok savunma mekanizması için kör bir nokta. Microsoft imzalı, daha önce sınıflandırılmamış bir savunmasız sürücünün sömürülmesi, imza manipülasyonu gibi kaçınma teknikleri ile birleştiğinde, karmaşık ve gelişen bir tehdidi temsil ediyor.”

Valley (veya Valley Hırsızı), UTG-Q-1000 ve geçersiz Arachne’nin büyük hırsızı olan Swimsnake olarak da adlandırılan Silver Fox, öncelikle Google Chrome, telgraf ve yapay zeka (AI) gibi, küstahlık (AI) gibi güçlü araçları kullanan sahte web sitelerini hedefleyen, geçtiğimiz yılın başlarından beri son derece aktif olduğu değerlendiriliyor.

Çin siber güvenlik satıcısı Antiy’ye göre, hackleme grubunun 2022’nin ikinci yarısından beri yerlerde bulunduğuna inanılıyor ve yerli kullanıcıları ve şirketleri sırları çalmak ve onları dolandırmak için hedefliyor.

Şirket, “Siber suçlu grup esas olarak anında mesajlaşma yazılımı (WeChat, Enterprise WeChat, vb.), Arama motoru SEO promosyonu, kimlik avı e -postaları vb. “‘Swimsnake’ siber suçlu grubu hala kötü amaçlı yazılım ve AV kaçırma yöntemlerini güncelliyor.”

Saldırılar, açık kaynaklı yazılımların, QT çerçevesi kullanılarak oluşturulan kötü amaçlı programların veya WeChat ve çevrimiçi bankaların ekran görüntülerini yakalayabilen çevrimiçi modülü de dahil olmak üzere Valley Rat’a hizmet etmek için YouDao, Sgou AI, WPS ofisi ve Deepseek olarak gizlenmiş MSI yükleyicilerini kullanıyor.

CIS Yapı Kitleri

Kalkınma, Qianxin’in, Silver Fox içinde “finans grubu” tarafından monte edilen ve işletme ve kurumların yöneticilerini hedefleyen, duyarlı finansal bilgileri yağmalamayı veya doğrudan sahtekarlık yoluyla kâr etmeyi amaçlayan ayrı bir kampanyayı detaylandırdığı için geliyor.

Bu saldırılar, vergi denetimleri, elektronik faturalar, sübvansiyon duyuruları ve personel aktarımlarından, kullanıcıları uzaktan erişim truva atlarını çalıştırmak için aldatmak için alibaba Cloud OSS ve YouDao Cloud notları gibi meşru bulut hizmetlerine güvenmek için, kötü niyetli yükleri barındırmaya yönelik olarak, kötü niyetli yükleri barındırmak için kullanıyor.

Finans grubu, Silver Fox’un dört alt kümeden biri, diğer üçü haber ve romantizm grubu, tasarım ve üretim grubu ve Black Sulama Deliği grubu.

İlginç bir şekilde, finans grubu sulama deliği saldırıları ve kimlik avı gibi yöntemlerle bir kurbanın bilgisayarının kontrolünü kazandıktan sonra, kurbanın sosyal medya hesaplarını devralırlar ve grup üyelerinden gelen banka hesap numaralarına ve şifrelerini hasat etme amacıyla kimlik avı QR kodlarını çeşitli WeChat grup sohbetlerine gönderirler.

Qianxin, “UTG-Q-1000, son yıllarda Çin’deki en aktif ve agresif siber suç gruplarından biridir. Operasyonları son derece organize, teknik olarak sofistike ve finansal olarak motive olmuştur.” Dedi. “Casusluk (veri hırsızlığı), kötü amaçlı yazılım yoluyla uzaktan kumanda ve finansal sahtekarlık ve kimlik avı içeren eksiksiz bir kara piyasa kar zinciri kurdular.”



Source link