Los expertos de Kaspersky han descubierto una nueva campaña de malware sin archivos dirigida. Se caracteriza por un uso innovador de los registros de eventos de Windows para almacenar malware y una variedad de técnicas utilizadas por los atacantes.
Se utilizan conjuntos comerciales de pentesting y envoltorios antidetección, incluidos los compilados con Go. También se implementaron varios troyanos de última generación como parte de la campaña.
Nuevas formas de un ataque de malware sin archivos
Los expertos de Kaspersky han descubierto una operación de malware dirigida utilizando una técnica única: el malware sin archivos está oculto en los registros de eventos de Windows. El sistema se infectó inicialmente a través del módulo Dropper desde un archivo descargado por la víctima. El atacante usó una variedad de envoltorios anti-detección para ofuscar aún más a los troyanos de última etapa. Para evitar una mayor detección, algunos módulos se firmaron con un certificado digital.
En la última fase, los atacantes utilizaron dos tipos de troyanos. Estos se utilizaron para obtener más acceso al sistema. Los comandos de los servidores de control se transmitían de dos maneras: a través de la comunicación de red HTTP y los llamados conductos. Algunas versiones de troyanos lograron usar un sistema de comando que contenía docenas de comandos de C2.
Shellcodes están ocultos en el sistema de Windows
La campaña también incluyó herramientas comerciales de pentesting, incluidas SilentBreak y CobaltStrike. Combinó técnicas bien conocidas con programas de descifrado personalizados y el primer uso observado de registros de eventos de Windows para ocultar shellcodes en el sistema.
“Observamos una nueva técnica de malware dirigido que llamó nuestra atención. Para el ataque, el actor guardó y luego ejecutó un shellcode encriptado de los registros de eventos de Windows”, dijo Denis Legezo, investigador principal de seguridad de Kaspersky. “Es un enfoque que nunca antes habíamos visto y muestra la importancia de estar alerta a las amenazas que, de otro modo, podrían tomarlo desprevenido. Creemos que vale la pena agregar la técnica Registros de eventos a la sección Evasión de defensa de MITRE Matrix en la parte Ocultar artefactos. El uso de diferentes conjuntos comerciales de pentesting tampoco es común”.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/