Хакеры научились прятать вредоносный код в журнале событий Windows

Эксперты «Лаборатории Касперского» обнаружили и предупредили общественность о необычной вредоносной кампании. Как отмечают в лаборатории, такая кампания была обнаружена впервые. В ней для хранения вредоносного ПО используются журналы событий Windows. Более того, атакующие применяют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянов последней ступени.

Хакеры научились прятать вредоносный код в журнале событий Windows

Ранее эксперты компании не встречали технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка сразу несколькими троянами для удалённого управления заражёнными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий троянов таких команд десятки.

Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского», отметил:

Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас очень заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу MITRE.


Комментарии закрыты.