資安警訊：中國駭客 Silver Fox 鎖定台企發動「稅務網釣」攻擊

中國駭客 Silver Fox 鎖定台企發動「稅務網釣」攻擊—— Bitdefender 多層次防禦如何抵禦 Winos 4.0 威脅

近期 iThome 揭露，惡名昭彰的駭客組織 Silver Fox (銀狐) 再次調整戰術，鎖定台灣財務人員進行精準攻擊。他們利用「國稅局抽查」或「電子發票」等誘餌，誘騙使用者執行惡意程式 Winos 4.0 (ValleyRAT)。

作為 Bitdefender 在台合作夥伴，我們深知傳統防毒軟體已難以應對此類「無檔案」與「核心層級」的攻擊。以下是我們對此威脅的深度剖析及解決方案。

---

攻擊手法深度解析：Silver Fox 的三把利刃

根據 Bitdefender 威脅實驗室的監測，Silver Fox 此次攻擊的核心在於「規避偵測」：

 

1. 1. 偽裝與社交工程： 駭客寄送看似合法的財務郵件，附件包含惡意的 LNK 檔或偽裝成安裝程式的執行檔（如：64位安裝包_特別版.exe）。

1. 1. DLL 側載 (DLL Side-Loading)： 利用合法的 Windows 程式來載入惡意的 DLL 檔案。由於執行主體是合法程式，許多只掃描執行檔 (EXE) 的防禦軟體會直接放行。

1. 1. BYOVD (自帶脆弱驅動程式) 攻擊： 這是最危險的一環。駭客會載入帶有已知漏洞的合法驅動程式（如 wsftprm.sys），藉此取得作業系統核心 (Kernel) 權限，進而強制關閉受害電腦上的防護軟體或 EDR 監控。

---

Bitdefender GravityZone 如何提供防護？

針對 Silver Fox 的精準打擊，Bitdefender GravityZone 平台透過下列技術架構，提供領先業界的防護能力：

1. 進階行為控制 (Advanced Threat Control, ATC)

Bitdefender 不僅依賴特徵碼，更監控進程的行為。當 Winos 4.0 試圖執行 DLL 側載或異常的記憶體注入時，ATC 會立即偵測到非正常行為並直接終止程序，防止惡意代碼落地。

2. 無檔案攻擊防護與防入侵技術

Silver Fox 偏好在記憶體中執行 Shellcode。Bitdefender 的 HyperDetect 與 防入侵模組 能偵測 PowerShell 或 CMD 的異常指令列，在駭客建立遠端連線 (C2) 之前就予以封鎖。

3. 端點偵測與回應 (EDR) 與 XDR

針對 BYOVD 攻擊，Bitdefender EDR 能即時記錄任何驅動程式的載入行為。當偵測到駭客試圖利用脆弱驅動程式竄改系統核心時，會自動觸發警報，並提供資安人員完整的攻擊圖譜（Incident Map），追蹤攻擊來源。

4. 沙箱分析 (Sandbox Analyzer)

對於來源不明的「稅務軟體安裝包」，GravityZone 會先將其送往雲端沙箱進行模擬執行。即便該程式具有高度隱匿性，在沙箱中展現出的「截圖、側錄鍵盤、連往 C2」等行為，都會被判定為惡意並通報全網封鎖。

---

德知士能為您提供什麼幫助？

面對 Silver Fox 這種針對性極強的 APT 攻擊，單純安裝軟體是不夠的。我們身為 Bitdefender 專業代理團隊，提供以下加值服務：

 

• • 資安健檢與評估： 協助企業檢視現有防護是否具備對抗「無檔案攻擊」與「BYOVD」的能力。

• • 託管式偵測與回應 (MDR)： 若您的企業缺乏 24/7 的資安人員，我們的 MDR 專家團隊會代表您監控所有警報，第一時間阻斷 Silver Fox 的滲透。

• • 社交工程演練規劃： 針對財務部門設計模擬網釣測驗，提升員工對於「稅務誘餌」的警覺性。

---

專家的話： 「銀狐」組織的進化代表了現代攻擊的趨勢—不再追求廣泛感染，而是追求「深度潛伏」。Bitdefender 的多層次防禦技術（Multi-layered Security）是目前對抗此類高級持續性威脅 (APT) 最具效益的防線。

您擔心企業成為下一個目標嗎？ 我們可以為您安排 Bitdefender GravityZone 的免費試用與資安現況評估。請與我們的資安專員聯絡，讓我們協助您鞏固最後一哩路的防禦！

參考資料:中國駭客Silver Fox假借稅務及電子發票名義為幌子，在臺灣散布惡意軟體Winos 4.0