ハッカーはWindowsEvents Journalで悪意のあるコードを非表示にすることを学びました

Kasperskyの研究室の専門家は、異常な悪意のあるキャンペーンについて国民に発見し、警告しました。研究室で述べたように、そのようなキャンペーンが初めて発見されました。 Windowsイベントを使用してマルウェアを保存します。さらに、攻撃者は、サイレントブレイクやコバルトストライクを含む幅広いテクニックを使用して、浸透のテストのための法的手段を使用します。また、感染鎖には、GOを含む補助モジュールのセット全体が含まれています。彼らは、最後のステップのトロヤ人を検出することを難しくするために使用されます。

以前、同社の専門家は、Windowsイベント内に悪意のあるコードを隠すというテクニックを満たしていませんでした。被害者によってダウンロードされたモジュールは、システムの主要な感染を担当します。それらに対する信頼性を高めるためのいくつかのファイルは、デジタル証明書によって署名されます。このチェーンは、感染したデバイスのリモートコントロールのために、一度に複数のズボンで終了します。それらは、コマンド（HTTPまたは名前付きチャネル）の転送方法、およびそのセットさえ異なります。トロヤノフの一部のバージョンには、そのようなチームが何十もあります。

Kaspersky Laboratoryの主要なサイバーセキュリティの専門家であるDenis Leggoは、次のように述べています。

2つの商用ツールと多数のモジュールを一度に使用することに加えて、Windows Events Journalに暗号化されたシェルコードを保存するという事実に非常に興味がありました。システム内の悪意のある存在を隠すためのこのような手法は、Miterマトリックスに追加できます。