Бесфайловый вредонос прячется в журнале сoобытий Windws Олеся Афанасьева 05 мая 2022 - 11:38 Домашние пользователиКорпорацииWindowsЛаборатория КасперскогоТрояны «Лаборатория Касперского» поймала трояна, который использует новую технику сокрытия в ОС — прячется в журналах событий Windows. Таким образом вредоносу удается оставаться незамеченным в файловой системе.
Сам метод зафиксировали в феврале 2022 года, а первые атаки с его использованием датируются аж сентябрем 2021-го. В Kaspersky говорят, что раньше не видели подобного — журнал событий используется для маскировки вредоноса в реальных атаках. Специалисты пока не могут установить, кто стоит за атаками, но группировка выделяется патчингом «родных» API Windows, связанных с отслеживанием событий в ОС и интерфейсом AMSI.
Киберпреступники тщательно маскируют свои кампании: используют похожие на легальные доменные имена, частные серверы для хостинга и механизмы ухода от детектирования. Они даже выпускают собственные цифровые сертификаты. Домен IP Впервые замечен ASN eleed[.]online 178.79.176[.]136 15 января 2022 63949 – Linode eleed[.]cloud 178.79.176[.]136 – 63949 – Linode timestechnologies[.]org 93.95.228[.]97 17 января 2022 44925 – The 1984 avstats[.]net 93.95.228[.]97 17 января 2022 44925 – The 1984 mannlib[.]com 162.0.224[.]144 20 августа 2021 22612 – Namecheap nagios.dreamvps[.]com 185.145.253[.]62 17 января 2022 213038 – DreamVPS opswat[.]info 194.195.241[.]46 11 января 2022 63949 – Linode – 178.79.176[.]1 – 63949 – Linode
Попавший в систему троян отправляет данные на удаленный сервер. Сама программа может снимать цифровой отпечаток зараженной машины, внедрять код в процессы, переходить в спящий режим или просто завершить сеанс операционной системы. Все команды отдаются командным центром — C2, находящимся под управлением злоумышленников.
Источник: Бесфайловый вредонос прячется в журнале событий Windows
Сам метод зафиксировали в феврале 2022 года, а первые атаки с его использованием датируются аж сентябрем 2021-го. В Kaspersky говорят, что раньше не видели подобного — журнал событий используется для маскировки вредоноса в реальных атаках. Специалисты пока не могут установить, кто стоит за атаками, но группировка выделяется патчингом «родных» API Windows, связанных с отслеживанием событий в ОС и интерфейсом AMSI.
Киберпреступники тщательно маскируют свои кампании: используют похожие на легальные доменные имена, частные серверы для хостинга и механизмы ухода от детектирования. Они даже выпускают собственные цифровые сертификаты. Домен IP Впервые замечен ASN eleed[.]online 178.79.176[.]136 15 января 2022 63949 – Linode eleed[.]cloud 178.79.176[.]136 – 63949 – Linode timestechnologies[.]org 93.95.228[.]97 17 января 2022 44925 – The 1984 avstats[.]net 93.95.228[.]97 17 января 2022 44925 – The 1984 mannlib[.]com 162.0.224[.]144 20 августа 2021 22612 – Namecheap nagios.dreamvps[.]com 185.145.253[.]62 17 января 2022 213038 – DreamVPS opswat[.]info 194.195.241[.]46 11 января 2022 63949 – Linode – 178.79.176[.]1 – 63949 – Linode
Попавший в систему троян отправляет данные на удаленный сервер. Сама программа может снимать цифровой отпечаток зараженной машины, внедрять код в процессы, переходить в спящий режим или просто завершить сеанс операционной системы. Все команды отдаются командным центром — C2, находящимся под управлением злоумышленников.
Источник: Бесфайловый вредонос прячется в журнале событий Windows