В последнее время группа киберпреступников Silver Fox активно использует драйвер Windows WatchDog Antimalware (amsdk.sys, версия 1.0.600) для отключения антивирусных программ и систем обнаружения и реагирования на угрозы (EDR). Данное действие позволяет им внедрять вредоносное программное обеспечение на целевые устройства. Исследователи компании Check Point обнаружили, что этот драйвер применялся в атаках на структуры в Восточной Азии с целью завершения защитных процессов и установки трояна ValleyRAT.
ValleyRAT открывает возможность удаленного выполнения команд и эксфильтрации данных. Silver Fox также использует драйвер антивируса Zemana (ZAM.exe), чтобы обеспечить совместимость с различными версиями Windows. Вредоносные загрузочные бинарники размещались в инфраструктуре Китая и включали в себя сложные механизмы для анализа, постоянное присутствие, оба драйвера, а также список процессов безопасности для завершения и ValleyRAT.
Стратегии атаки
Жертвы Silver Fox, вероятно, становились жертвами фишинга или социальной инженерии. Атакующие создали само-инициированные бинарные программы-загрузчики с антиреинженерными функциями, механизмами сохранения, а также драйверами и жестко закодированным списком процессов безопасности для завершения. Эти элементы составляли арсенал, который атакующие использовали для поддержания присутствия в системе. При этом, несмотря на обновление от WatchDog, которое исправляет уязвимость локальной привилегии, остается возможность произвольного завершения процессов, что создает потенциал для дальнейших угроз.
Check Point Research рекомендует ИТ-командам обновлять списки блокировок драйверов, внедрять правила обнаружения YARA и внимательно следить за сетевой активностью и сетевым трафиком для выявления подозрительной деятельности. Это подчеркнет необходимость в более тщательном мониторинге сетей и конечных точек, чтобы обеспечить значительное снижение рисков, связанных с такими атаками. Таким образом, новейшие технологии, такие как WatchDog, продолжают подвергаться рискам устаревших или недостаточно защищенных компонент системы, которые используют злоумышленники для развития своих киберкампаний.
Комментарии (0)
Создание новых комментариев временно недоступно.