- 중국 위협 그룹은 안티 바이러스 및 EDR 도구를 비활성화하기 위해 민감한 VCH WATW CH DOG 안티웨어 드라이버를 남용합니다.
- 공격자는 또한 Windows의 포괄적 인 관련성에 대해 Zama의 Anti-Mal Lare Driver (Zam.exe)에게 도움이되었습니다.
- 연구원들은 블록리스트를 업데이트하고 Yara 규칙을 사용하며 의심스러운 활동을 모니터링하는 팀을 구성하고 있습니다.
중국 해커는 이전 신뢰할 수있는 Wind
이전 “자신의 민감한 드라이버를 가져 오기”를 학대하기위한 최신 드라이버를 Watchdog Antimalware라고합니다. 일반적으로 동일한 이름 보안 솔루션의 일부입니다.
버전 1.0.600에 민감한 파일 이름 AMSDK를 전달합니다. 이 문제를 발견 한 Check Point Research (CPR)의 보안 전문가들은 운전자가 이전에 문제로 나열되지 않았지만 동아시아의 단체에 대한 공격에 사용되었다고 말했다.
맬웨어 성장
공격에서 위협적인 아티스트는 운전자를 사용하여 바이러스 백신 및 EDR 도구를 종료 한 후 발리 라트를 배치했습니다.
Ware Lower 의이 부분은 사이버 불신, 임의의 명령 실행 및 데이터 추출에 사용할 수있는 백도어 역할을합니다.
또한 CPR은 Silver Fox가 Zema의 Zamxi라는 별도의 드라이버를 사용하여 Windows 7, Windows 10 및 Windows 11을 포함한 다양한 시스템간에 일관성을 유지한다고 말했다.
연구원들은 희생자들이 어떻게 말 라버와 함께 끝났는지 논의하지 않았지만, 약간의 낚시를 믿는 것이 안전합니다. 중국의 인프라 기반 인프라는 항 알레질 특징, ISTEENCE 장면, 드라이버, 완료해야 할 보안 프로세스 목록 및 Valirat를 포함한 자체 포함 로더 콩을 호스팅하기위한 자체 포함 로더 콩을 주최합니다.
Check Point Research에 따르면 Watch Chad는 조사를 신속하게 피하기 위해 추가 버전과 드라이버 유형을 포함하도록 개발했다고 밝혔다.
시계 Ch Dog는 임의의 프로세스의 완료가 가능하지만 로컬 권한 결함을 수정하는 업데이트를 발행했습니다. 따라서 IT 팀은 Micros .ft의 드라이버 블록 목록을 모니터링하고 Yara 조사 규칙을 사용하며 의심스러운 트래픽 및/또는 기타 활동을 위해 네트워크를 모니터링해야합니다.
까지 분쟁 잡지
