Хакеры прячут бесфайловое вредоносное ПО в журналах событий Windows

[Artifact]

Специалисты выявили вредоносную кампанию в феврале 2022 года, и в прошлом месяце она все еще была активна.

Исследователи «Лаборатории Касперского» обнаружили вредоносную кампанию, в ходе которой для незаметного заражения систем бесфайловым вредоносным ПО хакеры используют ранее неизвестную технику.
Техника заключается во внедрении шелл-кода непосредственно в журнал событий Windows, что позволяет использовать журнал событий для сокрытия троянов, использующихся на последних этапах кибератаки.
Специалисты выявили вредоносную кампанию в феврале 2022 года, и в прошлом месяце она все еще была активна. Поскольку использующееся в кибератаках вредоносное ПО является уникальным, специалисты затрудняются отнести ее на счет какой-либо известной киберпреступной группировки. Как бы то ни было, стоящие за кампанией хакеры являются весьма умелыми, уверены эксперты.
«Мы считаем ранее не встречавшуюся нам технику с использованием журналов событий самой инновационной частью данной кампании», - отметил старший исследователь безопасности ЛК Денис Легезо.
В ходе кибератак хакеры используют ряд инструментов для внедрения кода и технику обхода обнаружения для доставки вредоносного ПО.
На первом этапе атаки злоумышленники заманивают жертву на легитимный сайт и обманом вынуждают загрузить сжатый файл .RAR, содержащий инструменты для тестирования сетей на проникновение Cobalt Strike и SilentBreak. С помощью этих инструментов они могут внедрять код в любой процесс, в частности, загружать дополнительные модули в системные процессы Windows или процессы доверенных приложений наподобие DLP.
Такой способ внедрения вредоносного ПО в память атакуемой системы называется бесфайловым и не является чем-то новым. Однако в отличие от предыдущих атак с использованием бесфайлового вредоносного ПО, в ходе выявленной ЛК новой кампании для обхода обнаружения код делится на блоки объемом по 8 КБ и сохраняется в двоичной части журналов событий.
По словам Легезо, «дроппер не только загружает на диск лаунчер для загрузки по сторонним каналам, но также записывает информационные сообщения с шелл-кодом в существующий журнал событий Windows KMS».
Далее лаунчер загружается в директорию задач Windows. В точке входа отдельный поток собирает все вышеупомянутые блоки по 8 КБ в один шелл-код и запускает его.
Однако журнал событий используется хакерами не только для загрузки шелл-кодов. Модули дроппера также «патчат» нативные API-функции Windows, относящиеся к отслеживанию событий и AMSI, благодаря чему процесс заражения становится еще более незаметным.