Gli esperti di Kaspersky hanno scoperto una nuova campagna mirata di malware fileless. È caratterizzato da un uso innovativo dei registri eventi di Windows per l'archiviazione di malware e da una varietà di tecniche utilizzate dagli aggressori.
Vengono utilizzate suite di pentesting commerciali e wrapper anti-rilevamento, inclusi quelli compilati con Go. Nell'ambito della campagna sono stati utilizzati anche diversi trojan di ultima generazione.
Nuovi modi di un attacco di malware senza file
Gli esperti di Kaspersky hanno scoperto un'operazione malware mirata utilizzando una tecnica unica: il malware senza file è nascosto nei registri eventi di Windows. Il sistema è stato inizialmente infettato tramite il modulo Dropper da un archivio scaricato dalla vittima. L'aggressore ha utilizzato una serie di wrapper anti-rilevamento per offuscare ulteriormente i trojan dell'ultima fase. Per evitare ulteriori rilevamenti, alcuni moduli sono stati firmati con un certificato digitale.
Nell'ultima fase, gli aggressori hanno utilizzato due tipi di trojan. Questi sono stati utilizzati per ottenere un ulteriore accesso al sistema. I comandi dai server di controllo venivano trasmessi in due modi: tramite la comunicazione di rete HTTP e le cosiddette pipe. Alcune versioni del trojan sono riuscite a utilizzare un sistema di comandi contenente dozzine di comandi da C2.
Gli shellcode sono nascosti nel sistema Windows
La campagna includeva anche strumenti di pentesting commerciali, tra cui SilentBreak e CobaltStrike. Combinava tecniche ben note con programmi di decrittazione personalizzati e il primo uso osservato dei registri eventi di Windows per nascondere gli shellcode sul sistema.
“Abbiamo osservato una nuova tecnica di malware mirato che ha attirato la nostra attenzione. Per l'attacco, l'attore ha salvato e quindi eseguito uno shellcode crittografato dai registri degli eventi di Windows", ha affermato Denis Legezo, ricercatore senior per la sicurezza di Kaspersky. “È un approccio che non abbiamo mai visto prima e mostra l'importanza di essere attenti alle minacce che altrimenti potrebbero coglierti impreparato. Pensiamo che valga la pena aggiungere la tecnica Event Logs alla sezione Defense Evasion di MITRE Matrix nella parte Hide Artefacts. Anche l'uso di diverse suite di pentesting commerciali non è comune.
Altro su Kaspersky.com
A proposito di Kaspersky Kaspersky è una società internazionale di sicurezza informatica fondata nel 1997. La profonda competenza in materia di sicurezza e intelligence sulle minacce di Kaspersky funge da base per soluzioni e servizi di sicurezza innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L'ampio portafoglio di sicurezza dell'azienda comprende la protezione degli endpoint leader e una gamma di soluzioni e servizi di sicurezza specializzati per difendersi da minacce informatiche complesse e in continua evoluzione. Oltre 400 milioni di utenti e 250.000 clienti aziendali sono protetti dalle tecnologie Kaspersky. Maggiori informazioni su Kaspersky su www.kaspersky.com/