Обнаружена малварь, скрывающаяся в журналах событий Windows - «Новости» » Интернет технологии
sitename
Северный магнитный полюс Земли переместился ещё ближе к России - «Новости сети»
Северный магнитный полюс Земли переместился ещё ближе к России - «Новости сети»
 NASA передумало экономить и объявило дату запуска миссии SpaceX Crew-12 с россиянином на борту - «Новости сети»
NASA передумало экономить и объявило дату запуска миссии SpaceX Crew-12 с россиянином на борту - «Новости сети»
 Сэм Альтман признался, что его абсолютно не прельщает идея быть главой публичной компании - «Новости сети»
Сэм Альтман признался, что его абсолютно не прельщает идея быть главой публичной компании - «Новости сети»
 Gemini не заменит Google Assistant на устройствах с Android — пока что - «Новости сети»
Gemini не заменит Google Assistant на устройствах с Android — пока что - «Новости сети»
 Google пустила в Android альтернативные магазины приложений — и тут же обложила их огромными сборами - «Новости сети»
Google пустила в Android альтернативные магазины приложений — и тут же обложила их огромными сборами - «Новости сети»
 Персональные IPv4 прокси
Персональные IPv4 прокси
 В 2026 году Минцифры планирует создать базу IMEI - «Новости»
В 2026 году Минцифры планирует создать базу IMEI - «Новости»
 Операция «Форумный тролль»: российских политологов атакуют с помощью отчетов о плагиате - «Новости»
Операция «Форумный тролль»: российских политологов атакуют с помощью отчетов о плагиате - «Новости»
 Малварь GhostPoster скрывалась в логотипах 17 аддонов для Firefox - «Новости»
Малварь GhostPoster скрывалась в логотипах 17 аддонов для Firefox - «Новости»
 Администрация Roblox сообщила РКН, что готова выполнять требования законодательства РФ - «Новости»
Администрация Roblox сообщила РКН, что готова выполнять требования законодательства РФ - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Обнаружена малварь, скрывающаяся в журналах событий Windows - «Новости»

✔Обнаружена малварь, скрывающаяся в журналах событий Windows - «Новости»

06 мая 2022 649 Новости / Преимущества стилей / Изображения / Текст / Блог для вебмастеров / Вёрстка 0

Эксперты «Лаборатории Касперского» обнаружили необычную вредоносную кампанию, в рамках которой для хранения вредоносного кода используются журналы событий Windows.


Отчет исследователей гласит, что атакующие применяют широкий спектр техник, включая использование NetSPI (бывший SilentBreak) и CobaltStrike, легальных инструментов для пентестинга. Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянов последней ступени атаки.


Хотя атаки были обнаружены только в феврале 2022 года, начались они еще осенью 2021 года. При этом аналитики пишут, что ранее не видели, чтобы вредоносный код прятали внутри журналов событий Windows.



Обнаружена малварь, скрывающаяся в журналах событий Windows - «Новости»


За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. К тому же некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка установкой сразу нескольких троянов для удаленного управления зараженными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий малвари таких команд десятки.


«Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас очень заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу MITRE», — комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского».


Эксперты говорят, что установить атрибуцию этих атак пока не представляется возможным. Лишь отмечается, что код, который аналитики сочли кастомным (трояны, оболочки), не имеет сходства с ранее известными кампаниями или ранее зарегистрированными модулями для SilentBreak.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты «Лаборатории Касперского» обнаружили необычную вредоносную кампанию, в рамках которой для хранения вредоносного кода используются журналы событий Windows. Отчет исследователей гласит, что атакующие применяют широкий спектр техник, включая использование NetSPI (бывший SilentBreak) и CobaltStrike, легальных инструментов для пентестинга. Также в цепочку заражения входит целый набор вспомогательных модулей, написанных в том числе на Go. Они используются, чтобы затруднить обнаружение троянов последней ступени атаки. Хотя атаки были обнаружены только в феврале 2022 года, начались они еще осенью 2021 года. При этом аналитики пишут, что ранее не видели, чтобы вредоносный код прятали внутри журналов событий Windows. За первичное заражение системы отвечает модуль из архива, скачиваемого жертвой. К тому же некоторые файлы для повышения доверия к ним подписаны цифровым сертификатом. Заканчивается эта цепочка установкой сразу нескольких троянов для удаленного управления зараженными устройствами. Они отличаются и способом передачи команд (HTTP или именованные каналы), и даже их набором. У некоторых версий малвари таких команд десятки. «Помимо использования сразу двух коммерческих инструментов и большого количества модулей нас очень заинтересовал факт хранения зашифрованного шелл-кода в журнале событий Windows. Такую технику скрытия присутствия зловреда в системе можно было бы добавить в матрицу MITRE», — комментирует Денис Легезо, ведущий эксперт по кибербезопасности «Лаборатории Касперского». Эксперты говорят, что установить атрибуцию этих атак пока не представляется возможным. Лишь отмечается, что код, который аналитики сочли кастомным (трояны, оболочки), не имеет сходства с ранее известными кампаниями или ранее зарегистрированными модулями для SilentBreak.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: