Neue zielgerichtete Malware-Technik
Fileless Malware: Kaspersky identifiziert schädlichen Code in Windows Event Logs
Erstinfektion des Systems erfolgte über das Dropper-Modul aus einem vom Opfer heruntergeladenen Archiv
Kaspersky-Experten haben eine neue zielgerichtete Malware-Kampagne aufgedeckt. Sie zeichnet sich durch eine innovative Nutzung von Windows Event Logs für die Speicherung von Malware sowie eine Vielfalt an eingesetzten Techniken der Angreifer aus. Zum Einsatz kommen etwa kommerzielle Pentesting-Suiten und Anti-Detection-Wrapper – einschließlich solcher, die mit Go kompiliert wurden. Im Rahmen der Kampagne waren auch mehrere Trojaner der neuesten Generation im Einsatz.
Die Experten von Kaspersky haben eine zielgerichtete Malware-Operation entdeckt, bei der eine einzigartige Technik zum Einsatz kommt: fileless Malware wird in Windows Event Logs versteckt. Die Erstinfektion des Systems erfolgte über das Dropper-Modul aus einem vom Opfer heruntergeladenen Archiv. Der Angreifer nutzte eine Vielzahl von Anti-Detection-Wrapper, um die Trojaner der letzten Stufe noch weiter zu verschleiern. Um eine weitere Entdeckung zu vermeiden, wurden einige Module mit einem digitalen Zertifikat signiert.
In der letzten Phase setzten die Angreifer zwei Arten von Trojanern ein. Diese wurden genutzt, um weiteren Zugriff auf das System zu erhalten. Befehle von Kontrollservern wurden auf zwei Arten übermittelt: über HTTP-Netzwerkkommunikation und die sogenannten Pipes. Einigen Trojaner-Versionen gelang es, ein Befehlssystem zu nutzen, das Dutzende an Befehlen von C2 enthielt.
Die Kampagne umfasste auch kommerzielle Pentesting-Tools, darunter SilentBreak und CobaltStrike. Sie kombinierte bekannte Techniken mit angepassten Entschlüsselungsprogrammen und der erstmals beobachteten Nutzung von Windows Event Logs, um Shellcodes auf dem System zu verstecken.
"Wir haben eine neue zielgerichtete Malware-Technik beobachtet, die unsere Aufmerksamkeit erregt hat. Für den Angriff hat der Akteur einen verschlüsselten Shellcode aus Windows Event Logs gespeichert und dann ausgeführt", erklärt sagt Denis Legezo, leitender Sicherheitsforscher bei Kaspersky. "Das ist ein Ansatz, den wir noch nie zuvor gesehen haben und der zeigt, wie wichtig es ist, auf Bedrohungen zu achten, die einen sonst unvorbereitet treffen könnten. Wir sind der Meinung, dass es sich lohnt, die Technik der Event Logs in den MITRE-Matrix-Abschnitt "Defense Evasion" in den Teil "Hide Artefacts" aufzunehmen. Auch der Einsatz verschiedener kommerzieller Pentesting-Suiten ist nicht alltäglich." (Kaspersky Lab: ra)
eingetragen: 17.06.22
Newsletterlauf: 21.07.22
Kaspersky Lab: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.