Chiến dịch tấn công phức tạp do nhóm Silver Fox APT thực hiện đang khai thác một lỗ hổng driver chưa từng được biết đến trước đây. Mục tiêu của chúng là bỏ qua EDR (Endpoint Detection and Response) và các giải pháp chống vi-rút trên các hệ thống Windows 10 và 11 đã được cập nhật đầy đủ.

Phân tích chiến dịch Silver Fox APT

Khai thác Driver WatchDog Antimalware để vượt qua bảo mật

Vào ngày 28 tháng 8 năm 2025, Check Point Research (CPR) đã công bố chi tiết về nhóm Advanced Persistent Threat (APT) Silver Fox APT. Nhóm này đã lợi dụng driver WatchDog Antimalware (amsdk.sys phiên bản 1.0.600) để chấm dứt các tiến trình bảo vệ. Điều này cho phép chúng né tránh các giải pháp an ninh mạng hiện đại.

Driver này được Microsoft ký hợp lệ và được xây dựng trên Zemana Anti-Malware SDK. Đáng chú ý, nó không nằm trong Danh sách chặn driver dễ bị tổn thương của Microsoft và không bị phát hiện bởi các dự án bảo mật cộng đồng.

Phương pháp tiếp cận Dual-Driver và tính tương thích

Nhóm Silver Fox APT đã triển khai một phương pháp tiếp cận hai driver để đảm bảo khả năng tương thích trên các phiên bản Windows khác nhau. Đối với các hệ thống cũ như Windows 7, chúng sử dụng driver Zemana dễ bị tổn thương đã được biết đến và đã bị các biện pháp bảo mật chặn.

Tuy nhiên, trong các môi trường Windows 10 và 11 hiện đại, chúng đã triển khai driver WatchDog chưa bị phát hiện. Driver này vẫn giữ chữ ký hợp lệ của Microsoft, giúp chúng vượt qua các cơ chế phát hiện truyền thống một cách hiệu quả.

Cơ chế hoạt động của Loader All-in-One

Chiến dịch tập trung vào các mẫu loader all-in-one, kết hợp nhiều thành phần độc hại vào một tệp thực thi duy nhất. Các loader này tích hợp các tính năng chống phân tích, hai driver dễ bị tổn thương được nhúng sẵn, logic tùy chỉnh để chấm dứt các tiến trình bảo mật và module tải xuống ValleyRAT.

Các công cụ này được thiết kế để hoạt động liền mạch trên Windows 7 đến Windows 11. Chúng tự điều chỉnh phương pháp dựa trên phiên bản hệ thống mục tiêu.

Kiểm tra chống phân tích và ngoại lệ

Khi được thực thi, mã độc sẽ thực hiện các kiểm tra chống phân tích toàn diện. Bao gồm phát hiện máy ảo, nhận dạng sandbox và nhận diện hypervisor.

Nếu các kiểm tra này không thành công, mã độc sẽ hủy bỏ quá trình thực thi. Sau đó hiển thị các thông báo lỗi hệ thống giả mạo để tránh bị phát hiện.

Các nhà nghiên cứu đã phát hiện ra các ngoại lệ cho một số tên máy tính cụ thể. Điều này cho phép mã độc tiếp tục thực thi, có khả năng là các hệ thống được sử dụng trong quá trình phát triển mã độc.

Các chỉ số thỏa hiệp (IOCs) – Tên máy tính được loại trừ:

• DESKTOP-T3N3M3Q
• DESKTOP-03AMF90
• WIN-VMHH95J6C26

Cơ chế duy trì quyền truy cập và cài đặt dịch vụ

Cơ chế duy trì quyền truy cập bao gồm việc tạo thư mục “RunTime” dưới C:Program FilesRunTime. Tại đây, loader và driver dễ bị tổn thương phù hợp được lưu trữ dưới dạng RuntimeBroker.exe và Amsdk_Service.sys.

Hai dịch vụ được thiết lập: “Termaintor” duy trì quyền truy cập cho loader, trong khi “Amsdk_Service” cấu hình registry để tải driver.

Phân tích kỹ thuật lỗ hổng driver và phương thức khai thác

Lỗ hổng cốt lõi trong driver WatchDog

Lỗ hổng driver cốt lõi nằm ở khả năng của driver WatchDog Antimalware. Nó có thể chấm dứt các tiến trình tùy ý mà không xác minh trạng thái tiến trình được bảo vệ.

Driver sử dụng IoCreateDeviceSecure với DACL (Discretionary Access Control List) mạnh. Tuy nhiên, nó thiếu cờ FILE_DEVICE_SECURE_OPEN. Điều này cho phép ngay cả người dùng không có đặc quyền cũng có thể giao tiếp với thiết bị thông qua thao tác namespace.

Trình tự khai thác IOCTL để bỏ qua EDR

Kẻ tấn công khai thác lỗ hổng này bằng cách đưa ra các lệnh Input/Output Control (IOCTL) cụ thể. Đầu tiên, chúng đăng ký tiến trình của mình với IOCTL_REGISTER_PROCESS (0x80002010). Sau đó, chúng chấm dứt các tiến trình bảo mật mục tiêu bằng cách sử dụng IOCTL_TERMINATE_PROCESS (0x80002048).

Phương pháp này làm vô hiệu hóa hiệu quả các sản phẩm bảo vệ điểm cuối (EDR/AV) thường chạy dưới dạng các tiến trình được bảo vệ.

Mục tiêu và phương thức lây nhiễm của ValleyRAT

Kích hoạt ValleyRAT: Công cụ gián điệp và đánh cắp dữ liệu

Mục tiêu cuối cùng của chiến dịch là cung cấp ValleyRAT (còn gọi là Winos). Đây là một Remote Access Trojan (RAT) tinh vi được cho là do Silver Fox APT phát triển. Mã độc này giao tiếp với các máy chủ điều khiển (C2) được đặt tại Trung Quốc, sử dụng các kênh mã hóa bằng thuật toán XOR.

ValleyRAT cung cấp các khả năng giám sát từ xa toàn diện, chức năng thực thi lệnh và các công cụ đánh cắp dữ liệu.

Mô hình mục tiêu và phương thức lây nhiễm

Mô hình nhắm mục tiêu cho thấy sự tập trung vào thị trường Châu Á, đặc biệt là Trung Quốc. Điều này được chứng minh bằng danh sách cứng các tiến trình bảo mật thường được sử dụng trong khu vực đó.

Mã độc thường được phân phối thông qua các tệp lưu trữ .rar chứa các tệp thực thi hoặc thư viện liên kết động. Chúng khai thác các kỹ thuật side-loading ứng dụng hợp pháp để lây nhiễm vào hệ thống.

Phản ứng và khả năng thích nghi của Silver Fox APT

Bản vá của WatchDog và phản ứng của kẻ tấn công

Sau khi CPR công bố thông tin, WatchDog đã phát hành một driver đã vá lỗi (wamsdk.sys phiên bản 1.1.100). Bản vá này đã giải quyết các vectơ leo thang đặc quyền cục bộ.

Tuy nhiên, các nhà nghiên cứu lưu ý rằng bản vá đã không giải quyết triệt để lỗ hổng chấm dứt tiến trình tùy ý. Bởi vì nó vẫn thiếu các kiểm tra cho các tiến trình được bảo vệ. Thông tin chi tiết có tại: Check Point Research – Silver Fox APT: Vulnerable Drivers

Sự thích nghi nhanh chóng của Silver Fox APT

Thể hiện khả năng thích ứng đáng kinh ngạc, nhóm Silver Fox APT đã nhanh chóng tích hợp một phiên bản sửa đổi của driver đã vá lỗi vào chiến dịch đang diễn ra của chúng. Bằng cách thay đổi một byte duy nhất trong trường timestamp không được xác thực của chữ ký Microsoft Authenticode của driver, kẻ tấn công đã bảo toàn chữ ký hợp lệ của driver.

Đồng thời, chúng tạo ra một hàm băm tệp mới, qua đó vượt qua hiệu quả các danh sách chặn bảo mật dựa trên hàm băm.

Bài học và khuyến nghị về an ninh mạng

Sự phát triển của mối đe dọa và hạn chế bảo mật

Chiến dịch này đại diện cho một sự phát triển đáng kể trong các chiến thuật của Advanced Persistent Threat (APT). Nó làm nổi bật xu hướng ngày càng tăng của việc vũ khí hóa các driver được ký hợp lệ nhưng dễ bị tổn thương để circumvent các biện pháp bảo vệ điểm cuối.

Kỹ thuật này bộc lộ những hạn chế nghiêm trọng trong các cách tiếp cận an ninh mạng hiện tại. Đặc biệt là những cách phụ thuộc nhiều vào các phương pháp phát hiện dựa trên chữ ký và hàm băm. Cuộc tấn công cho thấy các tác nhân đe dọa đang vượt ra ngoài các lỗ hổng đã biết để khai thác các driver chưa được phân loại trước đây.

Điều này tạo ra các điểm mù trong nhiều cơ chế phòng thủ. Việc sử dụng thành công một driver được Microsoft ký trên các hệ thống đã được cập nhật đầy đủ nhấn mạnh sự tinh vi của các hoạt động APT hiện đại. Nó cũng cho thấy khả năng của chúng trong việc hoạt động trong các môi trường điện toán đáng tin cậy.

Chiến lược phòng thủ và hành động khuyến nghị

Các chuyên gia bảo mật khuyến nghị triển khai các chiến lược phòng thủ đa lớp vượt ra ngoài các phương pháp phát hiện truyền thống. Các tổ chức nên áp dụng thủ công Danh sách chặn driver dễ bị tổn thương mới nhất của Microsoft, vì các bản cập nhật tự động xảy ra không thường xuyên.

Các hệ thống phát hiện dựa trên hành vi có khả năng xác định các mẫu hoạt động driver đáng ngờ là cần thiết. Chúng giúp phát hiện các kỹ thuật khai thác mới. Chiến dịch này nhấn mạnh tầm quan trọng của việc chủ động xác định lỗ hổng và triển khai bản vá nhanh chóng trên toàn bộ chuỗi cung ứng phần mềm.

Các nhà cung cấp bảo mật và người dùng phải duy trì cảnh giác cao độ chống lại việc lạm dụng các driver hợp pháp đang nổi lên. Bởi vì ranh giới giữa mã đáng tin cậy và mã độc hại tiếp tục mờ đi trong các hoạt động APT tinh vi. Chiến dịch của Silver Fox APT này là một lời nhắc nhở rõ ràng rằng ngay cả các hệ thống Windows hiện đại, đã được vá lỗi hoàn chỉnh, vẫn dễ bị tổn thương trước những kẻ tấn công kiên quyết.