Ce nouveau logiciel malveillant sans fichier cache le shellcode dans les journaux d’événements Windows


Une nouvelle campagne malveillante a été repérée en profitant des journaux d’événements Windows pour cacher des morceaux de shellcode pour la première fois dans la nature.

« Il permet au cheval de Troie de dernière étape « sans fichier » d’être caché à la vue de tous dans le système de fichiers », a déclaré Denis Legezo, chercheur chez Kaspersky. mentionné dans un article technique publié cette semaine.

On pense que le processus d’infection furtif, non attribué à un acteur connu, a commencé en septembre 2021 lorsque les cibles visées ont été amenées à télécharger des fichiers .RAR compressés contenant Cobalt Strike et Pause silencieuse.

Les modules logiciels de simulation de l’adversaire sont ensuite utilisés comme rampe de lancement pour injecter du code dans les processus système Windows ou les applications de confiance.

Il convient également de noter l’utilisation d’emballages anti-détection dans le cadre de l’ensemble d’outils, suggérant une tentative de la part des opérateurs de voler sous le radar.

ShellCode des logiciels malveillants du journal des événements Windows

L’une des méthodes clés consiste à conserver le shellcode crypté contenant le logiciel malveillant de la prochaine étape sous forme de morceaux de 8 Ko dans les journaux d’événements, une technique inédite dans les attaques du monde réel, qui est ensuite combinée et exécutée.

ShellCode des logiciels malveillants du journal des événements Windows

La charge utile finale est un ensemble de chevaux de Troie qui utilisent deux mécanismes de communication différents : HTTP avec cryptage RC4 et non crypté avec tuyaux nommés – qui lui permettent d’exécuter des commandes arbitraires, de télécharger des fichiers à partir d’une URL, d’augmenter les privilèges et de prendre des captures d’écran.

Un autre indicateur des tactiques d’évasion de l’acteur menaçant est l’utilisation d’informations glanées lors de la reconnaissance initiale pour développer les étapes successives de la chaîne d’attaque, y compris l’utilisation d’un serveur distant qui imite un logiciel légitime utilisé par la victime.

« L’acteur derrière cette campagne est tout à fait capable », a déclaré Legezo. « Le code est assez unique, sans aucune similitude avec les logiciels malveillants connus. »

La divulgation intervient alors que les chercheurs de Sysdig démontré un moyen de compromettre les conteneurs en lecture seule avec des logiciels malveillants sans fichier exécutés en mémoire en exploitant une faille critique dans les serveurs Redis.



ttn-fr-57