Подпись Microsoft и «мертвый» антивирус. Silver Fox нашла способ обходить защиту Windows через ядро

Китайская группировка Silver Fox снова изменила тактику и начала применять ранее неизвестный уязвимый драйвер, чтобы отключать защиту в системе и закрепляться на компьютере жертвы. Новый приём позволяет завершать процессы антивирусов на уровне ядра и затем незаметно запускать модуль удалённого управления. Для найденной уязвимости уже выделили идентификатор CVE-2025-70795.

Специалисты обнаружили свежий образец вредоносной программы. Он загружал подозрительный драйвер STProcessMonitor Driver, который раньше в операциях этой группы не встречался. Драйвер имеет действительную цифровую подпись и прошёл сертификацию совместимости оборудования Microsoft, подпись датирована маем 2025 года. За счёт этого он выглядит легитимным и не вызывает немедленных подозрений у системы защиты.

Проблема в том, что драйвер открывает из пользовательского режима специальный управляющий запрос, который позволяет завершать любые процессы без проверки цели. Злоумышленник отправляет драйверу нужную команду и принудительно останавливает службы антивирусов и систем обнаружения атак. Такой подход известен как атака с использованием уязвимого драйвера. Его берут «как есть», устанавливают в систему и используют его ошибки против самой защиты.

Цепочка заражения выглядит многоступенчатой. Вредоносный установщик распаковывает зашифрованные архивы, собирает исполняемые файлы из фрагментов и добавляет исключения в Защитник Windows через командную оболочку PowerShell. Если на компьютере работает популярный китайский защитный пакет 360, программа пытается временно заблокировать сетевые подключения через настройки встроенного брандмауэра. Дальше запускается основной модуль, который по списку завершает процессы защитных средств разных производителей.

Отдельный компонент устанавливает и второй драйвер, который перехватывает системные функции ядра и скрывает активность вредоносных процессов. Для закрепления в системе создаётся задание планировщика с изменёнными правами доступа. Из-за этого стандартное удаление задания вызывает отказ в доступе, и следы заражения остаются даже после попытки очистки.

Финальная стадия атаки – запуск трояна удалённого управления WinOs. Он расшифровывает конфигурацию, подключается к управляющему серверу и превращает компьютер в узел бот-сети. Через него злоумышленники могут выполнять команды, собирать данные и поддерживать постоянный доступ. По меткам внутри конфигурации этот вариант собрали в ноябре 2025 года.

Новый драйвер ранее не встречался ни в открытых базах, ни в известных наборах уязвимых драйверов. При этом телеметрия показывает, что его продолжают распространять. Это говорит о том, что операторы кампании не только используют готовые инструменты, но и активно ищут новые слабые места в подписанных драйверах, чтобы обходить защиту на уровне ядра. Для администраторов это ещё один сигнал внимательнее контролировать загрузку сторонних драйверов и включать политики блокировки уязвимых модулей.