Vahşi doğada ilk kez kabuk kodu parçalarını saklamak için Windows olay günlüklerinden yararlanan yeni bir kötü amaçlı kampanya tespit edildi.
Kaspersky araştırmacısı Denis Legezo, “Bu, ‘dosyasız’ son aşamadaki truva atının dosya sisteminde düz görüşten gizlenmesine olanak tanıyor.” dedim Bu hafta yayınlanan teknik bir yazıda.
Bilinen bir aktöre atfedilmeyen gizli enfeksiyon sürecinin, Eylül 2021’de, hedeflenen hedeflerin Kobalt Strike ve sessiz mola.
Düşman simülasyon yazılım modülleri daha sonra Windows sistem süreçlerine veya güvenilir uygulamalara kod enjekte etmek için bir başlatma paneli olarak kullanılır.
Ayrıca, araç setinin bir parçası olarak tespit önleyici sarmalayıcıların kullanılması da dikkate değerdir; bu, operatörlerin radarın altında uçma girişiminde bulunduğunu düşündürür.
Anahtar yöntemlerden biri, gerçek dünya saldırılarında daha önce hiç görülmemiş bir teknik olan olay günlüklerinde 8 KB’lık parçalar halinde sonraki aşama kötü amaçlı yazılımları içeren şifreli kabuk kodunu tutmaktır, bu daha sonra birleştirilir ve yürütülür.
Son yük, iki farklı iletişim mekanizması kullanan bir dizi truva atıdır – RC4 şifrelemeli HTTP ve şifrelenmemiş adlandırılmış borular – bu, isteğe bağlı komutlar çalıştırmasına, bir URL’den dosya indirmesine, ayrıcalıkları yükseltmesine ve ekran görüntüsü almasına izin verir.
Tehdit aktörünün kaçınma taktiklerinin bir başka göstergesi, kurban tarafından kullanılan meşru yazılımı taklit eden uzak bir sunucunun kullanımı da dahil olmak üzere, saldırı zincirinin sonraki aşamalarını geliştirmek için ilk keşiften toplanan bilgilerin kullanılmasıdır.
Legezo, “Bu kampanyanın arkasındaki aktör oldukça yetenekli” dedi. “Kod oldukça benzersiz ve bilinen kötü amaçlı yazılımlarla hiçbir benzerliği yok.”
Açıklama Sysdig araştırmacıları olarak geliyor gösterdi Redis sunucularında kritik bir kusurdan yararlanarak bellekte yürütülen dosyasız kötü amaçlı yazılım içeren salt okunur kapsayıcılardan ödün vermenin bir yolu.