Silver Fox Grubu, Microsoft İmzalı WatchDog Sürücüsüyle ValleyRAT Dağıtıyor

Anasayfa » Silver Fox Grubu, Microsoft İmzalı WatchDog Sürücüsüyle ValleyRAT Dağıtıyor
Haberler, Siber Güvenlik, Tehdit Analizi, Zararlı Yazılım
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
Silver Fox Grubu, Microsoft İmzalı WatchDog Sürücüsüyle ValleyRAT Dağıtıyor

Silver Fox adlı tehdit aktörü, Microsoft tarafından imzalanmış ancak savunmasızlığı bulunan WatchDog sürücüsünü istismar ederek ValleyRAT adlı zararlıyı yaymakta. Bu saldırı, BYOVD (Bring Your Own Vulnerable Driver) yöntemiyle sistemdeki güvenlik çözümlerini devre dışı bırakmayı hedefliyor.

WatchDog Sürücüsündeki Güvenlik Açıkları

“amsdk.sys” adlı 64-bit, Zemana Anti-Malware SDK tabanlı ve Microsoft tarafından imzalanmış sürücü, Windows 7’de “zam.exe” Zemana sürücüsüyle birlikte kullanılıyor. Windows 10 ve 11’de ise WatchDog sürücüsü devreye giriyor. Sürücü, rastgele süreçleri doğrulama yapmadan sonlandırabilme ve yerel ayrıcalık yükseltme gibi kritik zafiyetlere sahip. Bu sayede saldırganlar sürücü cihazına sınırsız erişim kazanabiliyor.

Kampanyanın Teknik Detayları ve Savunma Mekanizmaları

Check Point tarafından Mayıs 2025 sonunda tespit edilen saldırılar, imza tabanlı savunmaları tetiklemeden zararlı yazılım dağıtımı ve kalıcılık sağlamak için tasarlanmış. Saldırılar, anti-analiz teknikleri (Anti-VM, Anti-Sandbox, hipervizör tespiti) kullanıyor ve tek bir ikili dosyada iki gömülü sürücü, antivirüs engelleme mantığı ile ValleyRAT DLL indiricisini barındırıyor. Sürücünün DACL tabanlı LPE açığına yönelik yayınlanan yama, rastgele süreç sonlandırma sorununu çözmediği için saldırganlar Microsoft imzasını koruyarak sürücüyü modifiye edebiliyorlar.

Silver Fox ve İlgili Siber Suç Gruplarının Faaliyetleri

Silver Fox, SwimSnake, UTG-Q-1000 gibi isimlerle de anılan grup, Çin dilini konuşan hedeflere Google Chrome, Telegram ve DeepSeek gibi yapay zeka destekli sahte web siteleri üzerinden ValleyRAT dağıtıyor. Antiy ve QiAnXin gibi firmaların raporlarına göre grup, anlık mesajlaşma, SEO, oltalama e-postaları gibi yöntemlerle kötü amaçlı yazılımlarını yaymakta ve finansal dolandırıcılığa odaklanan alt gruplar barındırıyor. Finance Group adlı alt küme, finans sektörü çalışanlarını hedef alarak sosyal mühendislik ve watering hole saldırılarıyla banka hesaplarını ele geçirmeye çalışıyor.

Bu gelişmeler, Microsoft imzalı sürücülerdeki bilinmeyen zafiyetlerin istismar edilmesi ve imza manipülasyonu gibi tekniklerle birleşerek, uç nokta güvenliğinde yeni bir tehdit alanı oluşturduğunu gösteriyor.

, , , , , , ,