Фахівці Kaspersky виявили нову цільову безфайлову кампанію шкідливих програм. Він характеризується інноваційним використанням журналів подій Windows для зберігання зловмисного програмного забезпечення та різними методами, які використовують зловмисники.
Використовуються комерційні пакети пентестування та оболонки для захисту від виявлення, включно зі скомпільованими за допомогою Go. У рамках кампанії також було розгорнуто кілька троянських програм останнього покоління.
Нові способи безфайлової атаки шкідливих програм
Експерти Kaspersky виявили цілеспрямовану дію шкідливого програмного забезпечення за допомогою унікальної техніки: безфайлове шкідливе програмне забезпечення ховається в журналах подій Windows. Система спочатку була заражена через модуль Dropper з архіву, завантаженого жертвою. Зловмисник використовував різноманітні оболонки для захисту від виявлення, щоб ще більше приховати трояни останньої стадії. Щоб уникнути подальшого виявлення, деякі модулі були підписані цифровим сертифікатом.
На останньому етапі зловмисники використовували два типи троянів. Вони використовувалися для отримання подальшого доступу до системи. Команди з серверів управління передавалися двома способами: через мережевий зв'язок HTTP і так звані канали. Деяким версіям троянів вдалося використовувати систему команд, що містить десятки команд від C2.
Шел-коди приховані в системі Windows
Кампанія також включала комерційні інструменти пентестування, зокрема SilentBreak і CobaltStrike. Він поєднав добре відомі методи з налаштованими програмами дешифрування та першим поміченим використанням журналів подій Windows для приховування шелл-кодів у системі.
«Ми помітили нову цільову техніку зловмисного програмного забезпечення, яка привернула нашу увагу. Для атаки актор зберіг, а потім виконав зашифрований шелл-код із журналів подій Windows», — сказав Денис Легезо, старший дослідник безпеки Kaspersky. «Цей підхід, якого ми ніколи раніше не бачили, показує, наскільки важливо бути уважним до загроз, які інакше можуть застати вас непідготовленими. Ми вважаємо, що варто додати техніку «Журнали подій» до розділу «Ухилення від захисту» MITRE Matrix у частині «Приховати артефакти». Використання різних комерційних комплексів пентестування також не є поширеним явищем».
Більше на Kaspersky.com
Про Касперського Kaspersky — міжнародна компанія з кібербезпеки, заснована в 1997 році. Глибокий досвід Kaspersky у сфері аналізу загроз і безпеки служить основою для інноваційних рішень і послуг безпеки для захисту бізнесу, критичної інфраструктури, урядів і споживачів у всьому світі. Комплексне портфоліо безпеки компанії включає провідний захист кінцевих точок і низку спеціалізованих рішень і послуг безпеки для захисту від складних і нових кіберзагроз. Понад 400 мільйонів користувачів і 250.000 XNUMX корпоративних клієнтів захищені технологіями Касперського. Більше інформації про Kaspersky на www.kaspersky.com/