323/68 (IT) ประจำวันพฤหัสบดีที่ 4 กันยายน 2568
บริษัทด้านความปลอดภัยไซเบอร์ Check Point เปิดเผยว่ากลุ่มแฮกเกอร์ Silver Fox หรือที่รู้จักในชื่อ SwimSnake, The Great Thief of Valley, UTG-Q-1000, Void Arachne ใช้กลยุทธ์ Bring Your Own Vulnerable Driver (BYOVD) ที่อาศัยไดรเวอร์ที่ถูกเซ็นรับรองโดยไมโครซอฟท์ แต่มีช่องโหว่ของโปรแกรม WatchDog Anti-malware (amsdk.sys เวอร์ชัน 1.0.600) เพื่อปิดการทำงานของ Security Software บนเครื่องเป้าหมาย และเปิดทางให้ติดตั้งมัลแวร์ ValleyRAT (Winos 4.0) ซึ่งเป็นโทรจันสำหรับการเข้าถึงและควบคุมระบบจากระยะไกล (RAT)
การโจมตีนี้ใช้วิธีแตกต่างกันตามเวอร์ชัน Windows โดยใน Windows 7 ผู้โจมตีเลือกใช้ไดรเวอร์ Zemana ที่ทราบช่องโหว่อยู่แล้ว ขณะที่ใน Windows 10 และ 11 ใช้ไดรเวอร์ WatchDog ที่ยังไม่ถูกไมโครซอฟท์บล็อก มัลแวร์ ValleyRAT ถูกใส่มาในไฟล์ไบนารีเดียวที่มีทั้งฟังก์ชัน Anti-VM/Anti-Sandbox, ไดรเวอร์ 2 ตัว, โมดูลปิดการทำงานของแอนติไวรัส และ DLL Downloader เมื่อทำงานแล้วจะเชื่อมต่อกับ C2 Server เพื่อดึง Payload เพิ่มเติมเข้ามา
แม้ว่า WatchDog จะออกแพตช์เวอร์ชัน 1.1.100 เพื่อแก้ไขช่องโหว่ Local Privilege Escalation (LPE) แต่ยังไม่สามารถแก้ไขช่องโหว่ที่เปิดทางให้ยุติกระบวนการใด ๆ ได้ นอกจากนี้ผู้โจมตียังสามารถแก้ไขไฟล์ไดรเวอร์เพียง 1 ไบต์เพื่อสร้างค่าแฮชใหม่ โดยไม่ทำให้ลายเซ็นดิจิทัลของไมโครซอฟท์สูญเสียความถูกต้อง ส่งผลให้สามารถหลบเลี่ยง blocklist ได้อย่างแนบเนียน เหตุการณ์นี้ทำให้ Silver Fox เป็นหนึ่งในกลุ่มไซเบอร์ที่มีความซับซ้อนและปรับตัวได้รวดเร็ว โดยนอกจากการแพร่กระจาย ValleyRAT แล้ว ยังมีหน่วยย่อย เช่น Finance Group ที่มุ่งเจาะบุคลากรด้านการเงินขององค์กร ใช้ฟิชชิงและเว็บไซต์ปลอมเพื่อล้วงข้อมูลบัญชีและฉ้อโกงทางการเงิน ยืนยันถึงความเสี่ยงไซเบอร์ที่ซับซ้อนและทวีความรุนแรงมากขึ้น
แหล่งข่าว https://thehackernews.com/2025/09/silver-fox-exploits-microsoft-signed.html
