Phần mềm độc hại mới với khả năng ẩn dấu Shellcode trong Windows Event Logs

Một chiến dịch mã độc mới được phát hiện đã lợi dụng các log sự kiện (event logs) của Windows để lưu trữ các đoạn shellcode độc hại.

Nhà nghiên cứu Denis Legezo của Kaspersky cho biết “điều này cho phép ẩn dấu các thành phần trojan trong hệ thống tệp”. "Mã độc này không có điểm tương đồng với các phần mềm độc hại đã biết."

Quá trình lây nhiễm được cho là bắt đầu vào tháng 9 năm 2021, khi các mục tiêu ​​bị lừa tải xuống các tệp nén .RAR có chứa Cobalt Strike và Silent Break.

Sau đó, các mô-đun độc hại được sử dụng như một công cụ để chèn mã vào các tiến trình hệ thống Windows hoặc các ứng dụng đáng tin cậy. Bộ công cụ này cũng sử dụng các lớp vỏ bọc để tránh bị phát hiện.

Một trong những phương pháp quan trọng là giữ cho shellcode chứa phần mềm độc hại [được sử dụng ở giai đoạn tiếp theo] được mã hóa theo các đoạn 8KB trong event logs, đây là kỹ thuật chưa từng biết đến trong các cuộc tấn công trước đó, sau đó được kết hợp lại và thực thi.

Payload cuối cùng thu được là một tập các trojan cho phép thực thi các lệnh tùy ý, tải xuống tệp từ URL, leo thang đặc quyền và thu thập thông tin screenshots.

Một phương pháp khác của kẻ tấn công là sử dụng thông tin thu thập trong quá trình do thám ban đầu để triển khai các giai đoạn sau của chuỗi tấn công, bao gồm việc giả mạo các phần mềm hợp pháp mà nạn nhân sử dụng.

Tiết lộ được đưa ra khi các nhà nghiên cứu của Sysdig đã chứng minh được cách để xâm phạm thành phần ‘containers read-only’ bằng mã độc này khi nó được thực thi trong bộ nhớ bằng cách lạm dụng một lỗ hổng nghiêm trọng trong máy chủ Redis.

Nguồn: thehackernews.com.