Se detectó una nueva campaña maliciosa que se aprovecha de los registros de eventos de Windows para ocultar fragmentos de shellcode por primera vez en la naturaleza.
«Permite que el troyano de última etapa ‘sin archivos’ se oculte a simple vista en el sistema de archivos», dijo el investigador de Kaspersky Denis Legezo. dicho en un artículo técnico publicado esta semana.
Se cree que el proceso de infección sigilosa, no atribuido a un actor conocido, comenzó en septiembre de 2021 cuando se atrajo a los objetivos previstos para que descargaran archivos .RAR comprimidos que contenían Cobalt Strike y Descanso silencioso.
Los módulos de software de simulación del adversario se utilizan luego como una plataforma de lanzamiento para inyectar código en los procesos del sistema de Windows o en las aplicaciones confiables.
También es notable el uso de envoltorios antidetección como parte del conjunto de herramientas, lo que sugiere un intento por parte de los operadores de volar por debajo del radar.
Uno de los métodos clave es mantener el shellcode encriptado que contiene el malware de próxima etapa como piezas de 8 KB en los registros de eventos, una técnica nunca antes vista en los ataques del mundo real, que luego se combina y ejecuta.
La carga útil final es un conjunto de troyanos que emplean dos mecanismos de comunicación diferentes: HTTP con cifrado RC4 y sin cifrar con tuberías con nombre – que le permiten ejecutar comandos arbitrarios, descargar archivos desde una URL, escalar privilegios y tomar capturas de pantalla.
Otro indicador de las tácticas de evasión del actor de amenazas es el uso de la información recopilada del reconocimiento inicial para desarrollar etapas sucesivas de la cadena de ataque, incluido el uso de un servidor remoto que imita el software legítimo utilizado por la víctima.
«El actor detrás de esta campaña es bastante capaz», dijo Legezo. «El código es bastante único, sin similitudes con el malware conocido».
La divulgación se produce cuando los investigadores de Sysdig demostrado una forma de comprometer los contenedores de solo lectura con malware sin archivos que se ejecuta en la memoria aprovechando una falla crítica en los servidores Redis.