Kaspersky の専門家は、新たな標的型ファイルレス マルウェア キャンペーンを発見しました。 マルウェアを格納するための Windows イベント ログの革新的な使用と、攻撃者が使用するさまざまな手法が特徴です。
Go でコンパイルされたものを含め、商用の侵入テスト スイートと検出防止ラッパーが使用されます。 キャンペーンの一環として、いくつかの最新世代のトロイの木馬も展開されました。
ファイルレス マルウェア攻撃の新しい方法
Kaspersky の専門家は、独自の手法を使用して標的型マルウェアの操作を発見しました。ファイルレス マルウェアは Windows イベント ログに隠されています。 システムは最初、被害者がダウンロードしたアーカイブからドロッパー モジュールを介して感染しました。 攻撃者は、さまざまな検出防止ラッパーを使用して、最終段階のトロイの木馬をさらに難読化しました。 さらなる検出を回避するために、一部のモジュールはデジタル証明書で署名されています。
最後の段階で、攻撃者は 2 種類のトロイの木馬を使用しました。 これらは、システムへのさらなるアクセスを得るために使用されました。 制御サーバーからのコマンドは、HTTP ネットワーク通信といわゆるパイプの XNUMX つの方法で送信されました。 一部のトロイの木馬のバージョンは、CXNUMX からの数十のコマンドを含むコマンド システムを使用することができました。
シェルコードは Windows システムに隠されています
このキャンペーンには、SilentBreak や CobaltStrike などの商用侵入テスト ツールも含まれていました。 これは、よく知られている手法とカスタマイズされた復号化プログラムを組み合わせ、システム上のシェルコードを隠すために Windows イベント ログを使用することが初めて確認されました。
「私たちは、注目を集めた新しい標的型マルウェア技術を観察しました。 攻撃のために、攻撃者は Windows イベント ログから暗号化されたシェルコードを保存して実行しました」と、Kaspersky のシニア セキュリティ リサーチャーである Denis Legezo 氏は述べています。 「これはこれまで見たことのないアプローチであり、準備ができていない可能性のある脅威に注意を払うことの重要性を示しています。 アーティファクトの非表示部分の MITRE Matrix の防御回避セクションにイベント ログ技術を追加する価値があると考えています。 さまざまな商用ペンテスト スイートの使用も一般的ではありません。」
詳細は Kaspersky.com をご覧ください
カスペルスキーについて Kaspersky は、1997 年に設立された国際的なサイバーセキュリティ企業です。 Kaspersky の脅威インテリジェンスとセキュリティに関する深い専門知識は、革新的なセキュリティ ソリューションとサービスの基盤として機能し、世界中の企業、重要なインフラストラクチャ、政府、および消費者を保護します。 同社の包括的なセキュリティ ポートフォリオには、最先端のエンドポイント プロテクションと、複雑で進化するサイバー脅威から防御するためのさまざまな専門的なセキュリティ ソリューションとサービスが含まれています。 400 億を超えるユーザーと 250.000 の法人顧客がカスペルスキーのテクノロジーによって保護されています。 カスペルスキーの詳細については、www.kaspersky.com/ をご覧ください。