近日，資安公司 Check Point 的研究團隊揭露了一起由名為「銀狐」(Silver Fox) 的進階持續性威脅（APT）駭客組織所主導的惡意網路攻擊活動。這起攻擊的獨特之處在於，駭客並非利用常見的零日漏洞或社會工程手段，而是巧妙地濫用一個經微軟合法數位簽署的 Windows 驅動程式，以此作為其惡意軟體載入與執行的跳板，進而將名為 ValleyRAT 的遠端存取木馬植入受害者系統。這項發現不僅凸顯了駭客技術的進化，更對長期以來對合法數位簽章的信任機制提出了嚴峻挑戰。

根據 Check Point 的報告，銀狐駭客組織利用的核心漏洞，來自一個名為 WatchDog Antimalware 的驅動程式（檔案名稱 amsdk.sys）。儘管該驅動程式的簽章來自於微軟，理應被 Windows 作業系統視為可信任組件，但其本身卻存在漏洞，允許攻擊者利用它來關閉或繞過系統上的資安防護程序。這項技術被駭客用作載入器，其主要目的是在受害者電腦上為後續的惡意行動鋪平道路。

這款惡意載入器並非單一組件，而是一個經過精心設計的整合式封裝。為了確保攻擊能在不同版本的 Windows 系統上成功，銀狐組織將 WatchDog 驅動程式與另一個較舊的合法 Zemana 驅動程式結合，使其載入器能夠同時在 Windows 10 和 11 等新舊作業系統上運行。這個載入器還具備了多項反分析功能，包括內嵌式驅動程式、專門用來終止進程的邏輯，以及 ValleyRAT 下載器。其中，最令人警惕的是其終止進程的能力。該載入器配置了近 200 個進程的終止清單，其中大部分都與亞洲地區常用的防毒軟體產品相關。這意味著在 ValleyRAT 惡意軟體被部署之前，駭客就能確保受害者的防毒軟體失去作用，從而大幅提高攻擊的成功率。

駭客的狡猾之處不僅於此。即便在 WatchDog 軟體發布了修復漏洞的新版驅動程式後，銀狐組織也迅速找到了應對方法。他們並非簡單地放棄，而是透過修改新驅動程式的數位簽章時間戳記，將其中的單一位元反轉。這個看似微不足道的改動，卻能產生一個全新的檔案雜湊值（file hash），使其能夠繞過現有基於雜湊值的黑名單，同時卻能保留驅動程式的合法數位簽章。這種「簽章篡改」技術使得駭客能夠持續利用這個驅動程式，進一步證明了其攻擊手法的高度複雜性與適應性。

載入器成功運行後，最終的惡意載荷 ValleyRAT 便被植入系統。ValleyRAT 是一款功能強大的模組化遠端存取木馬（RAT），具備多種間諜與命令執行功能。駭客可以利用它來遠端監控受害者的活動、竊取敏感資訊，甚至將受害者電腦變成殭屍網路的一部分。根據 Check Point 的追蹤，ValleyRAT 的命令與控制（C2）基礎設施主要位於中國境內的伺服器。儘管受害者分佈在全球，但攻擊目標明顯偏向亞洲地區的組織，特別是中國企業。這可能與該駭客組織的背景與主要行動目標有關。

這起攻擊事件的影響深遠。它揭示了一個重要的資安漏洞：對合法數位簽章的過度信任。數位簽章原本是為了確保軟體的真實性與完整性，但在這種利用驅動程式漏洞進行攻擊的模式下，簽章已無法提供足夠的安全保障。這也凸顯了微軟在驅動程式黑名單更新上的緩慢。如果黑名單更新不夠及時，合法簽署但有漏洞的驅動程式將長期成為駭客的溫床。這要求企業和個人必須採取更為全面的防禦策略，不能僅依賴於簽章驗證，更應整合行為監控、沙盒分析等多層次防禦機制，以應對這種利用信任鏈進行的複雜攻擊。

總體而言，銀狐 APT 組織的這起攻擊行動，是對全球資安社群的一次警示。它證明了駭客正不斷尋找新的漏洞和攻擊路徑，特別是那些被認為安全的環節。未來，企業必須重新評估其資安防禦策略，並將驅動程式安全、簽章驗證漏洞、以及針對性進程終止等威脅納入考量，以確保其數位資產的安全。