02.09.2025
1 хв
535
Хакерське угруповання Silver Fox (також відоме як SwimSnake та UTG-Q-1000) зловживало вразливим драйвером WatchDog Anti-malware, підписаним Microsoft, щоб вимикати захисні системи й розгортати шкідливе ПЗ ValleyRAT. Кампанія базувалася на тактиці Bring Your Own Vulnerable Driver (BYOVD) та дозволяла атакувальникам обходити традиційні засоби безпеки.
За даними Check Point, в атаках використовували два драйвери: відомий Zemana для Windows 7 та новий — amsdk.sys для Windows 10 і 11. Останній мав низку критичних вразливостей, зокрема здатність завершувати будь-які процеси без перевірки їхнього статусу, а також надавав можливості локальної ескалації привілеїв.
Мета хакерів — нейтралізувати захист, щоб безперешкодно доставити ValleyRAT (Winos 4.0). Це бекдор, здатний забезпечити віддалений контроль над системою, завантажувати модулі та обходити аналіз. Використовувався «все-в-одному» завантажувач із вбудованими антивірус-кілерами, анти-VM і анти-сандбокс перевірками.
Попри випуск патчу (версія 1.1.100) для зменшення ризиків, Silver Fox швидко пристосувався: достатньо було змінити один байт у драйвері, щоб зберегти підпис Microsoft і водночас обійти блоклісти за хешами. Це демонструє високу технічну гнучкість угруповання.
Silver Fox діє з другої половини 2022 року, переважно проти китайськомовних користувачів. Вони поширюють шкідливе ПЗ через підроблені сайти, троянські інсталятори, месенджери й SEO-просування. Підгрупи угруповання, зокрема Finance Group, орієнтовані на фінансові шахрайства: від фішингових листів із темами податків чи субсидій до захоплення соцмереж жертв і поширення шкідливих QR-кодів у WeChat.
Діяльність Silver Fox демонструє поєднання шпигунства, крадіжки даних і фінансових махінацій. У структурі групи діють кілька «кластерів» — від Black Watering Hole Group до Design and Manufacturing Group — що свідчить про високу організованість та бізнес-модель злочинного ланцюга.
Кампанія Silver Fox показує, що зловмисники вміло використовують навіть підписані Microsoft драйвери, аби обходити захист і розгортати шкідливі програми. Це створює новий виклик для індустрії: блокування хешів чи відомих вразливостей вже не достатньо. Потрібен багаторівневий підхід, що включає поведінковий аналіз, моніторинг драйверів і посилення механізмів верифікації.
