В последнее время группа киберпреступников Silver Fox активно использует драйвер Windows WatchDog Antimalware (amsdk.sys, версия 1.0.600) для отключения антивирусных программ и систем обнаружения и реагирования на угрозы (EDR). Данное действие позволяет им внедрять вредоносное программное обеспечение на целевые устройства. Исследователи компании Check Point обнаружили, что этот драйвер применялся в атаках на структуры в Восточной Азии с целью завершения защитных процессов и установки трояна ValleyRAT.
ValleyRAT открывает возможность удаленного выполнения команд и эксфильтрации данных. Silver Fox также использует драйвер антивируса Zemana (ZAM.exe), чтобы обеспечить совместимость с различными версиями Windows. Вредоносные загрузочные бинарники размещались в инфраструктуре Китая и включали в себя сложные механизмы для анализа, постоянное присутствие, оба драйвера, а также список процессов безопасности для завершения и ValleyRAT.
Стратегии атаки
Жертвы Silver Fox, вероятно, становились жертвами фишинга или социальной инженерии. Атакующие создали само-инициированные бинарные программы-загрузчики с антиреинженерными функциями, механизмами сохранения, а также драйверами и жестко закодированным списком процессов безопасности для завершения. Эти элементы составляли арсенал, который атакующие использовали для поддержания присутствия в системе. При этом, несмотря на обновление от WatchDog, которое исправляет уязвимость локальной привилегии, остается возможность произвольного завершения процессов, что создает потенциал для дальнейших угроз.
Check Point Research рекомендует ИТ-командам обновлять списки блокировок драйверов, внедрять правила обнаружения YARA и внимательно следить за сетевой активностью и сетевым трафиком для выявления подозрительной деятельности. Это подчеркнет необходимость в более тщательном мониторинге сетей и конечных точек, чтобы обеспечить значительное снижение рисков, связанных с такими атаками. Таким образом, новейшие технологии, такие как WatchDog, продолжают подвергаться рискам устаревших или недостаточно защищенных компонент системы, которые используют злоумышленники для развития своих киберкампаний.
