یک کمپین بدافزار در مقیاس بزرگ از درایور آسیبپذیر ویندوز مرتبط با مجموعه محصولات Adlice، جهت دور زدن تلاشهای شناسایی و ارائه بدافزار Gh0st RAT استفاده میکند.
بر اساس گزارش checkpoint در گزارش: به منظور گریز بیشتر از شناسایی، نفوذگران عمداً چندین گونه (با هشهای مختلف) از درایور 2.0.2 را با تغییر بخشهای PE خاص و در عین حال معتبر نگه داشتن امضا تولید کردند. این فعالیت مخرب شامل هزاران نمونه مخرب مرحله اول است که برای استقرار برنامهای استفاده میشود که قادر به خاتمه دادن نرمافزار تشخیص نقطه پایانی و پاسخ (EDR) با استفاده از حمله bring your own vulnerable driver (BYOVD) است. بیش از 2.500 نوع متمایز از نسخه قدیمی 2.0.2 درایور آسیبپذیر RogueKiller Antirootkit، truesight.sys در پلتفرم VirusTotal شناسایی شده است.
ماژول EDR-killer اولین بار در ژوئن 2024 شناسایی و ثبت شد. مشکل درایور Truesight، نقص خاتمه فرآیند دلخواه که همه نسخههای زیر 3.4.0 را تحت تأثیر قرار میدهد، قبلاً برای ابداع اکسپلویتهای PoC مانند Darkside و TrueSightKiller، مورد استفاده قرار گرفته است. شواهد نشان میدهد این کمپین به سبب سطحی از همپوشانیها در زنجیره اجرا و صنایع تجاری مورد استفاده، از جمله بردار آلودگی، زنجیره اجرا، شباهتها در نمونههای مرحله اولیه و الگوهای هدفگیری تاریخی، میتواند کار عامل تهدید Silver Fox APT باشد.
https://research.checkpoint.com/2025/large-scale-exploitation-of-legacy-driver
