Группа "Silver Fox" была связана с использованием ранее неизвестного уязвимого драйвера, ассоциированного с антивирусным ПО WatchDog, в рамках атаки Bring Your Own Vulnerable Driver (BYOVD), направленной на отключение установленных на компрометированных хостах решений по безопасности.
Уязвимый драйвер, о котором идет речь, — это "amsdk.sys" (версия 1.0.600), 64-битный, корректно подписанный драйвер ядра Windows, который, как оценивается, построен на базе SDK антивирусного ПО Zemana.
"Этот драйвер, построенный на базе SDK антивирусного ПО Zemana, был подписан Microsoft, не включен в список уязвимых драйверов Microsoft, и не обнаружен проектами сообщества, такими как LOLDrivers," — отмечает Check Point в своем анализе.
Атака характеризуется двойной стратегией драйверов, где известный уязвимый драйвер Zemana ("zam.exe") используется для машин с Windows 7, а не обнаруженный драйвер WatchDog — для систем, работающих на Windows 10 или 11.
Драйвер антивирусного ПО WatchDog был обнаружен содержащим несколько уязвимостей, основной из которых является возможность завершения произвольных процессов без проверки на защищенность процесса (PP/PPL). Он также уязвим для локального повышения привилегий, что позволяет атакующему получить неограниченный доступ к устройству драйвера.
Конечная цель кампании, впервые обнаруженной Check Point в конце мая 2025 года, — использование этих уязвимых драйверов для нейтрализации продуктов защиты конечных точек, создавая четкий путь для распространения и устойчивости вредоносного ПО без срабатывания сигнатурных защит.
Как отмечалось ранее, кампания разработана для доставки ValleyRAT (также известного как Winos 4.0) в качестве конечного полезной нагрузки, предоставляя атакующему удаленный доступ и контроль. Компания по кибербезопасности сообщила, что атаки используют единый загрузчик, включающий функции антианализа, два встроенных драйвера, логику "убийцы антивирусов" и загрузчик DLL ValleyRAT в одном бинарном файле.
"При выполнении образец выполняет несколько распространенных проверок антианализа, таких как Anti-VM (обнаружение виртуальных сред), Anti-Sandbox (обнаружение выполнения внутри песочницы), обнаружение гипервизора и другие," — отмечает Check Point. "Если какая-либо из этих проверок не пройдена, выполнение прерывается, и отображается сообщение о неисправности системы."
Загрузчик разработан для связи с сервером управления и контроля (C2) для получения модульного бэкдора ValleyRAT на зараженный компьютер.
После ответственного раскрытия Watchdog выпустил патч (версия 1.1.100) для устранения риска LPE, усилив строгий список контроля доступа (DACL), но не устранив проблему произвольного завершения процесса. Это, в свою очередь, привело к тому, что атакующие быстро адаптировались и включили измененную версию, изменив всего один байт без инвалидации подписи Microsoft.
"Изменением одного байта в поле неавторизованного временного штампа они сохранили действительную подпись драйвера Microsoft, одновременно создав новый хеш файла, эффективно обходя хеш блок-листы," — отмечает Check Point. "Эта тонкая, но эффективная техника напоминает паттерны, наблюдаемые в предыдущих кампаниях."
"Эта кампания демонстрирует, как атакующие переходят от известных слабых сторон к использованию неизвестных, подписанных драйверов — слепой зоны для многих механизмов защиты. Эксплуатация уязвимого драйвера, подписанного Microsoft, ранее не классифицированного, в сочетании с другими техниками, такими как манипуляция подписями, представляет собой сложную и эволюционирующую угрозу."
Группа Silver Fox aka SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000, Void Arachne, активна с начала прошлого года, в основном атакует жертв, говорящих на китайском, с использованием поддельных веб-сайтов, маскирующихся под Google Chrome, Telegram, и инструменты с искусственным интеллектом, такие как DeepSeek, для распространения троянов удаленного доступа, таких как ValleyRAT.
По данным китайского поставщика услуг кибербезопасности Antiy, эта хакерская группа, вероятно, существует с второй половины 2022 года, атакуя внутренних пользователей и компании с целью кражи секретов и мошенничества.
"Группа киберпреступников в основном распространяет вредоносные файлы через программное обеспечение мгновенных сообщений (WeChat, Enterprise WeChat и т.д. ), SEO-продвижение в поисковых системах, фишинговые письма и т.д.," — отмечает компания. "Группа киберпреступников 'SwimSnake' продолжает активно обновлять вредоносное ПО и методы ухода от антивирусов."
Атаки используют троянизированные версии открытого программного обеспечения, вредоносные программы, созданные с использованием фреймворка Qt, или установщики MSI, маскирующиеся под Youdao, Sogou AI, WPS Office, и DeepSeek, для предоставления ValleyRAT, включая его онлайн-модуль, который может захватывать скриншоты WeChat и онлайн-банков.
Эти разработки происходят на фоне того, что QiAnXin также подробно описал отдельную кампанию, проведенную "Финансовым Подразделением" ("Finance Group") внутри "Silver Fox", которая направлена на финансовых работников и менеджеров предприятий и учреждений, с целью кражи конфиденциальной финансовой информации или прямого получения прибыли через мошенничество.
Эти атаки используют фишинговые приманки, связанные с налоговыми проверками, электронными счетами-фактурами, объявлениями о субсидиях и переводах персонала, чтобы обмануть пользователей и запустить трояны удаленного доступа, одновременно используя легитимные облачные услуги, такие как Alibaba Cloud OSS и Youdao Cloud Notes, для размещения вредоносных полезных нагрузок в попытке избежать обнаружения.
Финансовое Подразделение является одним из четырех подкластеров, составляющих "Silver Fox", остальные три — это подразделения News и Romance Group, подразделение Design и Manufacturing Group, и Black Watering Hole Group.
Интересно, что после захвата компьютера жертвы методами, такими как атаки через водоемы и фишинг, Финансовое Подразделение берет на себя управление учетными записями социальных сетей жертвы и использует их для отправки фишинговых QR-кодов в различные чаты WeChat, с целью получения номеров банковских счетов и паролей от участников группы, в конечном итоге сливая средства с их банковских счетов для получения прибыли.
"UTG-Q-1000 является одной из самых активных и агрессивных групп киберпреступности в Китае в последние годы. Их операции высокоорганизованны, технически сложны и мотивированы финансово," — отмечает QiAnXin. "Они создали полную черную цепочку прибыли на рынке, включающую: шпионаж (кражу данных), удаленный контроль через вредоносное ПО, а также финансовое мошенничество и фишинг."
- Source: https://thehackernews.com/2025/09/silver-fox-exploits-microsoft-signed.html
Уязвимый драйвер, о котором идет речь, — это "amsdk.sys" (версия 1.0.600), 64-битный, корректно подписанный драйвер ядра Windows, который, как оценивается, построен на базе SDK антивирусного ПО Zemana.
"Этот драйвер, построенный на базе SDK антивирусного ПО Zemana, был подписан Microsoft, не включен в список уязвимых драйверов Microsoft, и не обнаружен проектами сообщества, такими как LOLDrivers," — отмечает Check Point в своем анализе.
Атака характеризуется двойной стратегией драйверов, где известный уязвимый драйвер Zemana ("zam.exe") используется для машин с Windows 7, а не обнаруженный драйвер WatchDog — для систем, работающих на Windows 10 или 11.
Драйвер антивирусного ПО WatchDog был обнаружен содержащим несколько уязвимостей, основной из которых является возможность завершения произвольных процессов без проверки на защищенность процесса (PP/PPL). Он также уязвим для локального повышения привилегий, что позволяет атакующему получить неограниченный доступ к устройству драйвера.
Конечная цель кампании, впервые обнаруженной Check Point в конце мая 2025 года, — использование этих уязвимых драйверов для нейтрализации продуктов защиты конечных точек, создавая четкий путь для распространения и устойчивости вредоносного ПО без срабатывания сигнатурных защит.
Как отмечалось ранее, кампания разработана для доставки ValleyRAT (также известного как Winos 4.0) в качестве конечного полезной нагрузки, предоставляя атакующему удаленный доступ и контроль. Компания по кибербезопасности сообщила, что атаки используют единый загрузчик, включающий функции антианализа, два встроенных драйвера, логику "убийцы антивирусов" и загрузчик DLL ValleyRAT в одном бинарном файле.
"При выполнении образец выполняет несколько распространенных проверок антианализа, таких как Anti-VM (обнаружение виртуальных сред), Anti-Sandbox (обнаружение выполнения внутри песочницы), обнаружение гипервизора и другие," — отмечает Check Point. "Если какая-либо из этих проверок не пройдена, выполнение прерывается, и отображается сообщение о неисправности системы."
Загрузчик разработан для связи с сервером управления и контроля (C2) для получения модульного бэкдора ValleyRAT на зараженный компьютер.
После ответственного раскрытия Watchdog выпустил патч (версия 1.1.100) для устранения риска LPE, усилив строгий список контроля доступа (DACL), но не устранив проблему произвольного завершения процесса. Это, в свою очередь, привело к тому, что атакующие быстро адаптировались и включили измененную версию, изменив всего один байт без инвалидации подписи Microsoft.
"Изменением одного байта в поле неавторизованного временного штампа они сохранили действительную подпись драйвера Microsoft, одновременно создав новый хеш файла, эффективно обходя хеш блок-листы," — отмечает Check Point. "Эта тонкая, но эффективная техника напоминает паттерны, наблюдаемые в предыдущих кампаниях."
"Эта кампания демонстрирует, как атакующие переходят от известных слабых сторон к использованию неизвестных, подписанных драйверов — слепой зоны для многих механизмов защиты. Эксплуатация уязвимого драйвера, подписанного Microsoft, ранее не классифицированного, в сочетании с другими техниками, такими как манипуляция подписями, представляет собой сложную и эволюционирующую угрозу."
Группа Silver Fox aka SwimSnake, The Great Thief of Valley (Valley Thief), UTG-Q-1000, Void Arachne, активна с начала прошлого года, в основном атакует жертв, говорящих на китайском, с использованием поддельных веб-сайтов, маскирующихся под Google Chrome, Telegram, и инструменты с искусственным интеллектом, такие как DeepSeek, для распространения троянов удаленного доступа, таких как ValleyRAT.
По данным китайского поставщика услуг кибербезопасности Antiy, эта хакерская группа, вероятно, существует с второй половины 2022 года, атакуя внутренних пользователей и компании с целью кражи секретов и мошенничества.
"Группа киберпреступников в основном распространяет вредоносные файлы через программное обеспечение мгновенных сообщений (WeChat, Enterprise WeChat и т.д. ), SEO-продвижение в поисковых системах, фишинговые письма и т.д.," — отмечает компания. "Группа киберпреступников 'SwimSnake' продолжает активно обновлять вредоносное ПО и методы ухода от антивирусов."
Атаки используют троянизированные версии открытого программного обеспечения, вредоносные программы, созданные с использованием фреймворка Qt, или установщики MSI, маскирующиеся под Youdao, Sogou AI, WPS Office, и DeepSeek, для предоставления ValleyRAT, включая его онлайн-модуль, который может захватывать скриншоты WeChat и онлайн-банков.
Эти разработки происходят на фоне того, что QiAnXin также подробно описал отдельную кампанию, проведенную "Финансовым Подразделением" ("Finance Group") внутри "Silver Fox", которая направлена на финансовых работников и менеджеров предприятий и учреждений, с целью кражи конфиденциальной финансовой информации или прямого получения прибыли через мошенничество.
Эти атаки используют фишинговые приманки, связанные с налоговыми проверками, электронными счетами-фактурами, объявлениями о субсидиях и переводах персонала, чтобы обмануть пользователей и запустить трояны удаленного доступа, одновременно используя легитимные облачные услуги, такие как Alibaba Cloud OSS и Youdao Cloud Notes, для размещения вредоносных полезных нагрузок в попытке избежать обнаружения.
Финансовое Подразделение является одним из четырех подкластеров, составляющих "Silver Fox", остальные три — это подразделения News и Romance Group, подразделение Design и Manufacturing Group, и Black Watering Hole Group.
Интересно, что после захвата компьютера жертвы методами, такими как атаки через водоемы и фишинг, Финансовое Подразделение берет на себя управление учетными записями социальных сетей жертвы и использует их для отправки фишинговых QR-кодов в различные чаты WeChat, с целью получения номеров банковских счетов и паролей от участников группы, в конечном итоге сливая средства с их банковских счетов для получения прибыли.
"UTG-Q-1000 является одной из самых активных и агрессивных групп киберпреступности в Китае в последние годы. Их операции высокоорганизованны, технически сложны и мотивированы финансово," — отмечает QiAnXin. "Они создали полную черную цепочку прибыли на рынке, включающую: шпионаж (кражу данных), удаленный контроль через вредоносное ПО, а также финансовое мошенничество и фишинг."
- Source: https://thehackernews.com/2025/09/silver-fox-exploits-microsoft-signed.html