Les pirates ont appris à cacher le code malveillant dans le journal des événements Windows

Les experts en laboratoire de Kaspersky ont découvert et averti le public d'une campagne malveillante inhabituelle. Comme indiqué dans le laboratoire, une telle campagne a été découverte pour la première fois. Il utilise des événements Windows pour stocker des logiciels malveillants. De plus, les attaquants utilisent un large éventail de techniques, notamment Silentbreak et Cobaltsstrike, des instruments juridiques pour tester la pénétration. De plus, la chaîne d'infection comprend un ensemble entier de modules auxiliaires, y compris GO. Ils sont utilisés pour rendre difficile la détection des Troyans de la dernière étape.

Plus tôt, les experts de l'entreprise n'ont pas répondu à la technique de cachette du code malveillant dans les événements Windows. Le module téléchargé par la victime est responsable de l'infection principale du système. Certains fichiers pour accroître la confiance en eux sont signés par un certificat numérique. Cette chaîne se termine par plusieurs pantalons à la fois pour la télécommande des appareils infectés. Ils diffèrent de la manière de transférer des commandes (HTTP ou des canaux nommés), et même leur ensemble. Certaines versions de Troyanov ont des dizaines de ces équipes.

Denis Leggo, un expert en cybersécurité de premier plan du laboratoire de Kaspersky, a noté:

En plus d'utiliser deux outils commerciaux et un grand nombre de modules à la fois, nous étions très intéressés par le stockage d'un code de shell chiffré dans le Windows Events Journal. Une telle technique pour cacher la présence de malveillants dans le système pourrait être ajoutée à la matrice de mitres.