Silver Fox APT abuse de drivers Windows signés pour neutraliser les EDR et livrer ValleyRAT
Source: Check Point Research (CPR). CPR publie une analyse d’une campagne active attribuée à l’APT Silver Fox exploitant des drivers noyau signés mais vulnérables pour contourner les protections Windows et livrer le RAT ValleyRAT. • Les attaquants abusent de drivers basés sur le SDK Zemana Anti‑Malware, dont un driver WatchDog Antimalware non listé et signé Microsoft (amsdk.sys 1.0.600), pour l’arrêt arbitraire de processus (y compris PP/PPL) et la neutralisation d’EDR/AV sur Windows 10/11. Un second driver (ZAM.exe 3.0.0.000) sert la compatibilité legacy (Windows 7). Les échantillons sont des loaders tout‑en‑un avec anti‑analyse, drivers intégrés, logique de kill EDR/AV et un downloader ValleyRAT. ...