Silver Fox: Yeni Tehdit Aktörüne Dikkat!
Son yıllarda siber güvenlik dünyasında ortaya çıkan yeni tehdit aktörleri, güvenlik uzmanlarını endişeye sevk ediyor. Silver Fox adıyla bilinen tehdit grubu, son zamanlarda gerçekleştirdiği Bring Your Own Vulnerable Driver (BYOVD) saldırıları ile dikkat çekiyor. Bu grup, WatchDog Anti-malware ile ilişkili, daha önce bilinmeyen bir açık sürücü kullanarak, hedef alınan sistemlerdeki güvenlik çözümlerini devre dışı bırakmayı amaçlıyor.
- Silver Fox: Yeni Tehdit Aktörüne Dikkat!
- Vulnerable Driver: Amsdk.sys
- Çift Sürücü Stratejisi
- Hedef: Malware Dağıtımı
- Anti-Analiz Önlemleri
- Geliştiriciden Yapılan Açıklamalar
- Gelişen Tehditlerin Yüzü: Silver Fox
- Phishing ve Malware Dağıtımı
- Finans Grubu ve Phishing Taktikleri
- Sonuç: Düzenli Eylemler ve Hedefler
Vulnerable Driver: Amsdk.sys
Silver Fox’un kullandığı önemli açık sürücü, “amsdk.sys” (sürüm 1.0.600) olarak biliniyor. Bu, 64-bit bir Windows çekirdek cihaz sürücüsü olup, Zemana Anti-Malware SDK üzerine inşa edilmiştir. Microsoft tarafından imzalanmış olmasına rağmen, Microsoft’un Vulnerable Driver Blocklist listesinde yer almaktadır ve topluluk projeleri tarafından tespit edilmemiştir. Check Point’ın yaptığı analizlere göre, bu sürücü, temel güvenlik ihlalleri ile doludur.
Çift Sürücü Stratejisi
Saldırının karakteristik özelliği, Windows 7 makineleri için bilinen bir savunmasız Zemana sürücüsü (“zam.exe”) ile Windows 10 veya 11 sistemleri için tespit edilmeyen WatchDog sürücüsünün kullanılmasıdır. WatchDog Anti-malware sürücüsünün, herhangi bir koruma doğrulaması yapmadan rastgele süreçleri sonlandırma yeteneğine sahip olduğu tespit edilmiştir. Ayrıca, yerel ayrıcalık yükseltmesi için de savunmasızdır; bu da saldırganın sürücünün cihazına sınırsız erişim sağladığı anlamına geliyor.
Hedef: Malware Dağıtımı
Check Point’ın Mayıs 2025’te ilk kez fark ettiği bu kampanyanın nihai hedefi, bu savunmasız sürücüleri kullanarak son nokta koruma ürünlerini devre dışı bırakmaktır. Böylece, malware yerleştirme ve kalıcılık için açık bir yol sağlanmaktadır. Kampanyanın son aşamasında, saldırganın uzaktan erişim ve kontrol yetenekleri sağlayan ValleyRAT (aka Winos 4.0) adlı kötü amaçlı yazılım paketini göndermesi planlanmaktadır.
Anti-Analiz Önlemleri
Saldırı sırasında, kötü amaçlı yazılım örneği, sanal ortamları tespit etme gibi çeşitli anti-analiz kontrolleri gerçekleştiriyor. Eğer bu kontrollerden biri başarısız olursa, uygulama çalışmasını durduruyor ve sahte bir sistem hatası mesajı gösteriyor. Downloader, enfekte olmuş makinelerle etkileşim kurarak command-and-control (C2) sunucusuyla bağlantı kuruyor.
Geliştiriciden Yapılan Açıklamalar
Sorumlu bildirim sonrasında WatchDog, LPE riskini çözmek için sürüm 1.1.100’ü yayınladı. Ancak rasgele süreç sonlandırma sorununa bir çözüm sunmamıştır. Saldırganlar, Microsoft’un imzasını geçersiz kılmadan sadece bir baytı değiştirerek bu değişikliği hızla entegre etmiştir. Bu durum, daha önceki kampanyalarda gözlemlenen teknikleri yansıtmaktadır.
Gelişen Tehditlerin Yüzü: Silver Fox
Silver Fox, diğer isimleriyle SwimSnake, The Great Thief of Valley ve UTG-Q-1000 olarak da anılmaktadır. Çince konuşan hedeflere odaklanan grup, Google Chrome, Telegram ve yapay zeka tabanlı araçlar gibi sahte siteler aracılığıyla uzaktan erişim trojanları yaymaktadır. Giderek artan bir tehdit olarak görülen bu grup, 2022 yılının ikinci yarısından beri aktif bir şekilde faaliyet göstermektedir.
Phishing ve Malware Dağıtımı
Siber suç grubu, kötü amaçlı dosyaları genellikle anlık mesajlaşma yazılımları ve phishing e-posta yöntemleriyle dağıtmaktadır. Bu süreçte, açık kaynaklı yazılımların zararlı versiyonlarını kullanarak veya tanınmış yazılımlar gibi görünen programlar oluşturarak kullanıcıları hedef almaktadır. Örneğin, WeChat ve çevrimiçi bankalar gibi uygulamalardan ekran görüntüsü alabilen bir modül içeren Valley RAT gibi yazılımlar yüklüyorlar.
Finans Grubu ve Phishing Taktikleri
QiAnXin, Silver Fox’un “Finans Grubu” adını verdiği ayrı bir kampanyayı da detaylandırmıştır. Bu grup, finans sektöründeki çalışanları hedef alarak hassas bilgileri çalmaya çalışmakta veya dolandırıcılıktan doğrudan kâr sağlamaya çabalamaktadır. Saldırılar, vergi denetimleri, elektronik faturalar gibi konularda phishing tuzakları kullanarak kullanıcıları, uzaktan erişim trojanları çalıştırmaya teşvik etmektedir.
Sonuç: Düzenli Eylemler ve Hedefler
Silver Fox’un organize yapısı ve teknik olarak gelişmiş şekilde uyguladığı saldırılar, onu son yılların en aktif ve agresif siber suç gruplarından biri haline getirmiştir. Siber güvenlik uzmanlarının bu tehdit aktörlerine karşı güçlü tedbirler alması ve kullanıcıların dikkatli olması gerekmektedir. Siber dünyadaki bu tür saldırılar, kişisel verilerin güvenliği açısından ciddi tehditler oluşturmaktadır.
