BYOVD

Source: Check Point Research (CPR). CPR publie une analyse d’une campagne active attribuée à l’APT Silver Fox exploitant des drivers noyau signés mais vulnérables pour contourner les protections Windows et livrer le RAT ValleyRAT. • Les attaquants abusent de drivers basés sur le SDK Zemana Anti‑Malware, dont un driver WatchDog Antimalware non listé et signé Microsoft (amsdk.sys 1.0.600), pour l’arrêt arbitraire de processus (y compris PP/PPL) et la neutralisation d’EDR/AV sur Windows 10/11. Un second driver (ZAM.exe 3.0.0.000) sert la compatibilité legacy (Windows 7). Les échantillons sont des loaders tout‑en‑un avec anti‑analyse, drivers intégrés, logique de kill EDR/AV et un downloader ValleyRAT. ...

Les chercheurs de Kaspersky ont découvert un nouveau malware, surnommé AV killer, qui exploite le driver légitime ThrottleStop.sys pour désactiver les processus de sécurité en utilisant des techniques BYOVD (Bring Your Own Vulnerable Driver). Cette menace a été active depuis octobre 2024, ciblant principalement des victimes en Russie, Biélorussie, Kazakhstan, Ukraine et Brésil dans le cadre de campagnes de ransomware MedusaLocker. L’accès initial a été obtenu via des attaques RDP brute force, suivi par l’utilisation de Mimikatz pour l’extraction de crédentiels, permettant ensuite un mouvement latéral avant le déploiement de l’AV killer pour désactiver les défenses à travers le réseau. ...