Для хранения вредоносного программного обеспечения (ПО) применяются журналы событий Windows, а атакующие используют широкий спектр техник, включая SilentBreak и CobaltStrike, легальные инструменты для тестирования на проникновение. Еще в цепочку заражения входит целый набор вспомогательных модулей, которые написаны в том числе на Go. Их применяют для затруднения обнаружения троянцев последней ступени.
Прежде эксперты компании не видели технику скрытия вредоносного кода внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. Для повышения доверия некоторые файлы подписаны цифровым сертификатом. Заканчивается данная цепочка несколькими троянцами для удаленного управления зараженными устройствами. Их отличия заключаются в способе передачи команд. У некоторых версий троянцев таких команд десятки.
«Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас очень заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу Mitre», — заявил ведущий эксперт по кибербезопасности «Лаборатории Касперского» Денис Легезо.
Ранее сообщалось, что в России зафиксирован всплеск вредоносных рассылок от имени университетов.
