Подпись Microsoft и «мертвый» антивирус. Silver Fox нашла способ обходить защиту Windows через ядро
NewsMakerКитайские хакеры внедрили модуль WinOs для создания бот-сетей через уязвимость в ядре системы.
Китайская группировка Silver Fox снова изменила тактику и начала применять ранее неизвестный уязвимый драйвер , чтобы отключать защиту в системе и закрепляться на компьютере жертвы. Новый приём позволяет завершать процессы антивирусов на уровне ядра и затем незаметно запускать модуль удалённого управления. Для найденной уязвимости уже выделили идентификатор CVE-2025-70795 .
Специалисты обнаружили свежий образец вредоносной программы. Он загружал подозрительный драйвер STProcessMonitor Driver, который раньше в операциях этой группы не встречался. Драйвер имеет действительную цифровую подпись и прошёл сертификацию совместимости оборудования Microsoft, подпись датирована маем 2025 года. За счёт этого он выглядит легитимным и не вызывает немедленных подозрений у системы защиты.
Проблема в том, что драйвер открывает из пользовательского режима специальный управляющий запрос, который позволяет завершать любые процессы без проверки цели. Злоумышленник отправляет драйверу нужную команду и принудительно останавливает службы антивирусов и систем обнаружения атак. Такой подход известен как атака с использованием уязвимого драйвера. Его берут «как есть», устанавливают в систему и используют его ошибки против самой защиты.
Цепочка заражения выглядит многоступенчатой. Вредоносный установщик распаковывает зашифрованные архивы, собирает исполняемые файлы из фрагментов и добавляет исключения в Защитник Windows через командную оболочку PowerShell . Если на компьютере работает популярный китайский защитный пакет 360, программа пытается временно заблокировать сетевые подключения через настройки встроенного брандмауэра. Дальше запускается основной модуль, который по списку завершает процессы защитных средств разных производителей.
Китайская группировка Silver Fox снова изменила тактику и начала применять ранее неизвестный уязвимый драйвер , чтобы отключать защиту в системе и закрепляться на компьютере жертвы. Новый приём позволяет завершать процессы антивирусов на уровне ядра и затем незаметно запускать модуль удалённого управления. Для найденной уязвимости уже выделили идентификатор CVE-2025-70795 .
Специалисты обнаружили свежий образец вредоносной программы. Он загружал подозрительный драйвер STProcessMonitor Driver, который раньше в операциях этой группы не встречался. Драйвер имеет действительную цифровую подпись и прошёл сертификацию совместимости оборудования Microsoft, подпись датирована маем 2025 года. За счёт этого он выглядит легитимным и не вызывает немедленных подозрений у системы защиты.
Проблема в том, что драйвер открывает из пользовательского режима специальный управляющий запрос, который позволяет завершать любые процессы без проверки цели. Злоумышленник отправляет драйверу нужную команду и принудительно останавливает службы антивирусов и систем обнаружения атак. Такой подход известен как атака с использованием уязвимого драйвера. Его берут «как есть», устанавливают в систему и используют его ошибки против самой защиты.
Цепочка заражения выглядит многоступенчатой. Вредоносный установщик распаковывает зашифрованные архивы, собирает исполняемые файлы из фрагментов и добавляет исключения в Защитник Windows через командную оболочку PowerShell . Если на компьютере работает популярный китайский защитный пакет 360, программа пытается временно заблокировать сетевые подключения через настройки встроенного брандмауэра. Дальше запускается основной модуль, который по списку завершает процессы защитных средств разных производителей.