Er is een nieuwe kwaadaardige campagne ontdekt die gebruikmaakt van Windows-gebeurtenislogboeken om voor het eerst in het wild stukjes shellcode op te slaan.
“Hiermee kan de ‘bestandsloze’ trojan van de laatste fase worden verborgen in het bestandssysteem”, zegt Kaspersky-onderzoeker Denis Legezo. zei in een technisch artikel dat deze week is gepubliceerd.
Het sluipende infectieproces, dat niet wordt toegeschreven aan een bekende acteur, zou zijn begonnen in september 2021 toen de beoogde doelen werden verleid tot het downloaden van gecomprimeerde .RAR-bestanden met Cobalt Strike en Stille pauze.
De simulatiesoftwaremodules van de tegenstander worden vervolgens gebruikt als startpunt om code te injecteren in Windows-systeemprocessen of vertrouwde applicaties.
Ook opmerkelijk is het gebruik van antidetectiewikkels als onderdeel van de toolset, wat wijst op een poging van de operators om onder de radar te vliegen.
Een van de belangrijkste methoden is om versleutelde shellcode met de malware van de volgende fase als stukjes van 8 KB in gebeurtenislogboeken te bewaren, een nooit eerder vertoonde techniek bij aanvallen in de echte wereld, die vervolgens wordt gecombineerd en uitgevoerd.
De uiteindelijke lading is een set trojans die twee verschillende communicatiemechanismen gebruiken: HTTP met RC4-codering en niet-gecodeerd met benoemde pijpen – waarmee het willekeurige opdrachten kan uitvoeren, bestanden van een URL kan downloaden, privileges kan verhogen en schermafbeeldingen kan maken.
Een andere indicator van de ontwijkingstactieken van de dreigingsactor is het gebruik van informatie die is verkregen uit de eerste verkenning om de volgende fasen van de aanvalsketen te ontwikkelen, inclusief het gebruik van een externe server die legitieme software nabootst die door het slachtoffer wordt gebruikt.
“De acteur achter deze campagne is behoorlijk capabel”, zei Legezo. “De code is vrij uniek en vertoont geen overeenkomsten met bekende malware.”
De onthulling komt als Sysdig-onderzoekers gedemonstreerd een manier om alleen-lezen containers te compromitteren met bestandsloze malware die in het geheugen wordt uitgevoerd door gebruik te maken van een kritieke fout in Redis-servers.
