- أساءت مجموعة التهديدات الصينية سائقة سائق واضحة للرقابة الضعيفة لتعطيل أدوات مكافحة الفيروسات و EDR
- استفاد المهاجمون أيضًا من برنامج تشغيل Zemana Anti-Malware (Zam.exe) لتوافق أوسع عبر Windows
- يحث الباحثون فرق تكنولوجيا المعلومات على تحديث قوائم الأحزام ، واستخدام قواعد YARA ، ومراقبة النشاط المشبوه
شوهد المتسللون الصينيون Silver Fox يسيئون استخدام برنامج تشغيل Windows الموثوق مسبقًا بتعطيل حماية مكافحة الفيروسات ونشر البرامج الضارة على الأجهزة المستهدفة.
يسمى أحدث سائق يتعرض للإيذاء في الهجوم القديم “Bring Bring الخاص بك الضعيف” ، وعادة ما يكون جزءًا من حل الأمان الذي يحمل نفس الاسم.
يحمل اسم الملف AMSDK.SYS ، مع الإصدار 1.0.600 هو الضعف. قال خبراء الأمن من Check Point Research (CPR) ، الذين وجدوا القضية ، إن هذا السائق لم يكن مدرجًا سابقًا على أنه مشكلة ، ولكنه استخدم في الهجمات ضد الكيانات في شرق آسيا.
البرامج الضارة المتطورة
في الهجمات ، استخدم ممثلو التهديد السائق لإنهاء أدوات مكافحة الفيروسات و EDR ، وبعد ذلك نشروا الوهجة.
تعمل هذه البرامج الضارة كبور خلفي يمكن استخدامها في التصري الإلكتروني ، لتنفيذ الأوامر التعسفية ، وكذلك ترشيح البيانات.
علاوة على ذلك ، قال CPR أن Silver Fox استخدم برنامج تشغيل منفصل ، يسمى Zam.exe (من حل Zemana Anti-Malware) للبقاء متوافقًا بين الأنظمة المختلفة ، بما في ذلك Windows 7 و Windows 10 و Windows 11.
لم يناقش الباحثون كيف انتهى الضحايا بالبرامج الضارة في المقام الأول ، لكن من الآمن افتراض القليل من التصيد ، أو كانت الهندسة الاجتماعية في اللعب هنا. استخدمت المحتالون البنية التحتية الموجودة في الصين ، لاستضافة ثنائيات محمولة قائمة بذاتها تضمنت ميزات مضادة للتحليل ، وآليات الثبات ، وكلاهما من السائقين المذكورة أعلاه ، وقائمة متشددة من العمليات الأمنية التي يجب إنهاءها ، والوديان.
قال Check Point Research أن ما بدأ مع الوكالة الدولية للطاقة المضادة للتراجع تطورت بسرعة لتشمل إصدارات إضافية ، وأنواع ، من برامج التشغيل ، كل ذلك بهدف تجنب أي اكتشاف.
أصدرت هيئة الرقابة تحديثًا يحدد عيب الامتياز المحلي ، ولكن لا يزال إنهاء العملية التعسفية ممكنًا. لذلك ، يجب أن تتأكد فرق تكنولوجيا المعلومات من مراقبة قائمة سائق Microsoft ، واستخدام قواعد اكتشاف Yara ، ومراقبة شبكتها لحركة المرور المشبوهة و/أو أي نشاط آخر.
عبر مجلة InfoSecurity
