«Лаборатория Касперского» впервые обнаружила случаи хранения вредоносного кода в журналах событий Windows

Эксперты «Лаборатории Касперского» обнаружили необычную вредоносную кампанию. В ней для хранения вредоносного ПО используются журналы событий Windows. Более того, атакующие применяют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянцев последней ступени.

Ранее эксперты компании не видели технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка сразу несколькими троянцами для удалённого управления заражёнными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий троянцев таких команд десятки.

«Злоумышленники использовали сразу два коммерческих инструмента, значительное число модулей, хранение зашифрованного шелл-кода в журнале событий Windows, — комментирует Валерий Зубанов, коммерческий директор «Лаборатории Касперского» в Центральной Азии. — Для защиты от бесфайлового ПО и схожих угроз компании могут использовать такие защитные решения как Kaspersky Endpoint Security Cloud — в нём есть компонент, который позволяет детектировать аномалии в поведении файлов и выявлять бесфайловое вредоносное ПО. Кроме того, стоит обратить внимание на EDR-систему и специализированные сервисы, которые помогут защититься от наиболее продвинутых атак, например Kaspersky Managed Detection and Response».