كشفت شركة Check Point عن حملة خبيثة تقودها مجموعة التهديد السيبراني المعروفة باسم Silver Fox، والتي نجحت في استغلال برنامج تشغيل موقّع من مايكروسوفت ضمن هجوم Bring Your Own Vulnerable Driver (BYOVD) لتعطيل حلول الحماية على الأجهزة المصابة.
البرنامج المستغل هو amsdk.sys (الإصدار 1.0.600)، وهو برنامج تشغيل لنواة ويندوز بُني على Zemana Anti-Malware SDK وموقّع من مايكروسوفت، لكنه لم يكن مدرجاً في قائمة برامج التشغيل الضعيفة التي تحظرها الشركة ولم يُكتشف من قبل مشاريع المجتمع مثل LOLDrivers.
آلية الهجوم ونشر ValleyRAT
تعتمد الحملة على استراتيجية “السائق المزدوج”، حيث يُستخدم برنامج Zemana الضعيف (zam.exe) في أنظمة ويندوز 7، بينما يُستغل برنامج تشغيل WatchDog غير المكتشف في أنظمة ويندوز 10 و11.
هذا البرنامج يحوي ثغرات خطيرة أبرزها القدرة على إنهاء أي عملية قيد التشغيل دون التحقق من مستوى الحماية، بالإضافة إلى قابليته للاستغلال لرفع الامتيازات المحلية، مما يتيح للمهاجمين سيطرة كاملة على الجهاز.
ووفقاً للتحقيق، الهدف النهائي هو تعطيل منتجات الحماية الطرفية وتوفير بيئة آمنة لزرع برمجية ValleyRAT (المعروفة أيضاً باسم Winos 4.0)، وهي باب خلفي يتيح للمهاجمين الوصول والتحكم عن بُعد. الحملة تستخدم أداة تحميل متكاملة تضم ميزات مضادة للتحليل، وسائقين ضعفاء مدمجين، وآلية لتعطيل مضادات الفيروسات، ووحدة تنزيل DLL خاصة ببرمجية ValleyRAT.
قدرات متقدمة للتحايل
أظهرت النتائج أن البرمجية الخبيثة تجري اختبارات متعددة لمكافحة التحليل، مثل كشف البيئات الافتراضية (Anti-VM)، وكشف منصات الاختبار (Anti-Sandbox)، واكتشاف تقنيات hypervisor. وإذا فشل أي اختبار، يتم إيقاف التنفيذ وعرض رسالة خطأ وهمية.
من الجدير بالذكر أن شركة WatchDog أصدرت تحديثاً (الإصدار 1.1.100) لمعالجة مخاطر رفع الامتيازات عبر فرض قوائم تحكم أكثر صرامة، لكنها لم تعالج مشكلة إنهاء العمليات. استغل المهاجمون هذا النقص سريعاً عبر تعديل بايت واحد فقط في حقل توقيت غير موثّق، مع الحفاظ على توقيع مايكروسوفت صالحاً، ما سمح لهم بتجاوز قوائم الحظر المعتمدة على البصمات (hash-based blocklists).
نشاط إجرامي منظم يستهدف الصين
تُعرف مجموعة Silver Fox أيضاً بأسماء أخرى مثل SwimSnake وThe Great Thief of Valley وUTG-Q-1000. وتشير تقارير شركات الأمن الصينية مثل Antiy وQiAnXin إلى أن المجموعة نشطة منذ 2022، وتستهدف بشكل أساسي مستخدمين ناطقين بالصينية عبر مواقع مزيفة تنتحل خدمات مثل Google Chrome وTelegram وأدوات ذكاء اصطناعي مثل DeepSeek.
تعتمد الحملة على وسائل متعددة لتوزيع البرمجيات الخبيثة، منها برامج مفتوحة المصدر معدّلة، تطبيقات مبنية على إطار Qt، أو مثبتات MSI مموهة على هيئة برمجيات مشهورة مثل Youdao وWPS Office وSogou AI.
إحدى أذرع المجموعة، المعروفة باسم Finance Group، تركز على استهداف مسؤولي المال والمحاسبين في المؤسسات والشركات من خلال حملات تصيّد مرتبطة بمواضيع مثل الضرائب والفواتير والدعم الحكومي. بعد الاستيلاء على الأجهزة، يعمد المهاجمون إلى السيطرة على حسابات الضحايا على وسائل التواصل الاجتماعي، ثم يرسلون رموز QR خبيثة في مجموعات WeChat بهدف سرقة بيانات البطاقات والحسابات البنكية وتصريف الأموال.
تهديد متصاعد ومعقد
تؤكد شركة QiAnXin أن UTG-Q-1000 تُعد واحدة من أكثر مجموعات الجريمة الإلكترونية نشاطاً وعدوانية في الصين خلال السنوات الأخيرة، حيث أسست سلسلة متكاملة من الأنشطة غير المشروعة تشمل التجسس وسرقة البيانات، والتحكم عن بُعد عبر البرمجيات الخبيثة، والاحتيال المالي والتصيّد، مما يجعلها تهديداً متصاعداً ومتطوراً على المستويين التقني والمالي.
