Οι κυνηγοί απειλών στην Kaspersky τεκμηριώνουν δημόσια μια κακόβουλη καμπάνια που καταχράται τα αρχεία καταγραφής συμβάντων των Windows για να αποθηκεύει Trojans τελευταίου σταδίου χωρίς αρχεία και να τα διατηρεί κρυφά στο σύστημα αρχείων.
Σε μια έκθεση έρευνας που δημοσιεύθηκε την Τετάρτη, η Kaspersky είπε ότι η πρώτη φάση της εκστρατείας ξεκίνησε γύρω στον Σεπτέμβριο του 2021, με τον παράγοντα απειλών να παρασύρει τα θύματα να κατεβάσουν μια μονάδα Cobalt Strike με ψηφιακή υπογραφή.
Η χρήση αρχείων καταγραφής συμβάντων για αποθήκευση κακόβουλου λογισμικού είναι μια τεχνική που οι ερευνητές ασφαλείας της Kaspersky λένε ότι δεν έχουν ξαναδεί σε ζωντανές επιθέσεις κακόβουλου λογισμικού.
Οι ερευνητές δεν απέδωσαν τις επιθέσεις σε γνωστό παράγοντα απειλής, αλλά λένε ότι η ομάδα ξεχωρίζει επειδή διορθώνει τις εγγενείς λειτουργίες API των Windows που σχετίζονται με την παρακολούθηση συμβάντων και τη διεπαφή σάρωσης κατά του κακόβουλου λογισμικού για να διασφαλίσει ότι η μόλυνση παραμένει κρυφή.
Στην πραγματικότητα, οι εισβολείς έχουν σαφώς επενδύσει στην αποφυγή ανίχνευσης: χρησιμοποιούν τομείς με ονόματα που μιμούνται τα νόμιμα, χρησιμοποιούν εικονικούς ιδιωτικούς διακομιστές για φιλοξενία και χρησιμοποιούν μια ποικιλία αποκρυπτογραφητών κατά της ανίχνευσης – οι παρατηρηθέντες μεταγλωττιστές κυμαίνονται από το cl.exe της Microsoft έως ένα πρόσφατο έκδοση του Go.
Σύμφωνα με την Kaspersky, οι επιτιθέμενοι υπογράφουν επίσης ορισμένα από τα κακόβουλα αρχεία με ψηφιακά πιστοποιητικά που φαίνεται να έχουν εκδοθεί από τον ίδιο τον παράγοντα απειλής. Όσον αφορά τα εργαλεία, η ομάδα θεωρήθηκε ότι χρησιμοποιεί Cobalt Strike, NetSPI (μέρος του πλαισίου του SilentBreak), διάφορες προσαρμοσμένες μονάδες και επιπλέον κώδικα τρίτων.
Το χαρτοφυλάκιο αντι-ανίχνευσης του παράγοντα απειλών περιλαμβάνει MSVC, GCC υπό MinGW και Go compiler 1.17.2. εκτοξευτές στη λίστα επιτρεπόμενων, ψηφιακά πιστοποιητικά, σταγονόμετρο Go για επιδιόρθωση λειτουργιών API που σχετίζονται με την καταγραφή και αποθήκευση του κακόβουλου λογισμικού του τελευταίου σταδίου στο δυαδικό μέρος των αρχείων καταγραφής συμβάντων, που αναλύονται σε μπλοκ 8 KB.
Επιπλέον, η Kaspersky ανακάλυψε ότι τα ονόματα συναρτήσεων στο κύριο πακέτο έχουν μπερδευτεί.
Το τελευταίο στάδιο οι Trojans επικοινωνούν με τον διακομιστή εντολών και ελέγχου (C&C) είτε χρησιμοποιώντας HTTP με κρυπτογράφηση RC4 είτε χρησιμοποιώντας μη κρυπτογραφημένη επικοινωνία με επώνυμες σωλήνες.
«Ο τελευταίος τρόπος είναι τεχνικά ικανός να επικοινωνεί με οποιονδήποτε ορατό εξωτερικό κεντρικό υπολογιστή δικτύου, αλλά κάτω από τα Windows, οι αγωγοί με το όνομα Windows βασίζονται στο πρωτόκολλο SMB, το οποίο μετά βίας θα άνοιγε για εξωτερικά δίκτυα. Έτσι, αυτές οι μονάδες πιθανότατα χρησιμεύουν για πλευρική κίνηση», λέει ο Kaspersky.
Κατά την εκτέλεση, ο Trojan HTTP λαμβάνει δακτυλικά αποτυπώματα στο μολυσμένο σύστημα και στέλνει τα δεδομένα στον διακομιστή εάν ένα αρχικό ping στον διακομιστή είναι επιτυχές.
Το κακόβουλο λογισμικό υποστηρίζει εντολές για το δακτυλικό αποτύπωμα του συστήματος, την εκτέλεση λαμβανόμενων εντολών, τη λήψη και αποθήκευση ωφέλιμων φορτίων, τη λίστα διεργασιών, την εισαγωγή κώδικα σε διεργασίες-στόχους, την αναστολή λειτουργίας για μια καθορισμένη χρονική περίοδο και τον τερματισμό της συνεδρίας με το C&C.