Một nhóm tin tặc đến từ Trung Quốc có tên Silver Fox đang sử dụng một kỹ thuật tấn công tinh vi, lạm dụng các driver hợp pháp và đáng tin cậy của Windows để qua mặt và vô hiệu hóa hoàn toàn các phần mềm bảo mật, mở đường cho việc cài đặt malware gián điệp.
Các chuyên gia từ Check Point Research (CPR) vừa công bố một phát hiện đáng lo ngại về một chiến dịch tấn công mạng đang nhắm vào các tổ chức ở Đông Á. Thay vì tạo ra các mã độc mới, tin tặc lại sử dụng chính những thành phần được hệ thống tin tưởng để tấn công từ bên trong.
Nhóm tin tặc Silver Fox đang tấn công người dùng Windows bằng kỹ thuật tinh vi.
Chiêu thức được sử dụng có tên là "Bring Your Own Vulnerable Driver" (BYOVD). Kỹ thuật này hoạt động bằng cách tin tặc sẽ cài một driver hợp pháp, có chữ ký số đáng tin cậy nhưng lại chứa một lỗ hổng bảo mật đã được biết đến.
Vì được Windows tin tưởng, driver này được cấp quyền hoạt động ở cấp độ cao trong hệ thống. Từ đó, hacker sẽ khai thác lỗ hổng của chính driver "sạch" này để thực hiện các hành vi độc hại, mà cụ thể ở đây là ra lệnh cho hệ thống chấm dứt hoạt động của các phần mềm diệt virus và công cụ bảo mật đầu cuối (EDR).
Trong chiến dịch này, Silver Fox đã lạm dụng driver amsdk.sys (phiên bản 1.0.600) của phần mềm WatchDog Antimalware. Sau khi dùng driver này để vô hiệu hóa thành công hàng rào phòng thủ, chúng sẽ triển khai mã độc cuối cùng là ValleyRAT – một loại backdoor nguy hiểm chuyên dùng cho gián điệp mạng và đánh cắp dữ liệu.
Silver Fox đang lạm dụng tệp driver amsdk.sys để qua mặt các trình diệt virus.
Nhóm hacker còn sử dụng một driver hợp pháp khác là ZAM.exe (từ Zemana) để đảm bảo cuộc tấn công tương thích với nhiều phiên bản Windows khác nhau.
Mặc dù WatchDog đã phát hành bản vá cho driver của mình, các chuyên gia cảnh báo rằng nguy cơ vẫn còn đó. Các đội ngũ an ninh mạng và quản trị viên IT được khuyến nghị thực hiện các biện pháp sau:
- Theo dõi danh sách chặn driver của Microsoft: Thường xuyên cập nhật và áp dụng danh sách các driver nguy hiểm do Microsoft công bố.
- Sử dụng các công cụ phát hiện nâng cao: Áp dụng các quy tắc phát hiện tùy chỉnh như YARA để tìm kiếm các dấu hiệu bất thường.
- Giám sát mạng chặt chẽ: Theo dõi các lưu lượng mạng đáng ngờ và các hoạt động bất thường có thể là dấu hiệu của việc dữ liệu đang bị đánh cắp.
- Cảnh giác với lừa đảo: Kênh lây nhiễm ban đầu rất có thể là qua email lừa đảo, vì vậy người dùng cuối cần hết sức cẩn trọng.
Kỹ thuật tấn công này cho thấy các tác nhân đe dọa đang ngày càng tinh vi hơn, biến chính những công cụ hợp pháp thành vũ khí nguy hiểm.
