Kampanye jahat baru telah terlihat memanfaatkan log peristiwa Windows untuk menyimpan potongan shellcode untuk pertama kalinya di alam liar.
“Ini memungkinkan trojan tahap terakhir ‘tanpa file’ disembunyikan dari pandangan biasa di sistem file,” kata peneliti Kaspersky, Denis Legezo, dalam penulisan teknis yang diterbitkan minggu ini.
Proses infeksi tersembunyi, yang tidak dikaitkan dengan aktor yang diketahui, diyakini telah dimulai pada September 2021 ketika target yang dimaksud dibujuk untuk mengunduh file .RAR terkompresi yang berisi Cobalt Strike dan Silent Break.
Modul perangkat lunak simulasi musuh kemudian digunakan sebagai landasan peluncuran untuk memasukkan kode ke dalam proses sistem Windows atau aplikasi tepercaya.
Juga penting adalah penggunaan pembungkus anti-deteksi sebagai bagian dari perangkat, menunjukkan upaya pada bagian dari operator untuk terbang di bawah radar.
Salah satu metode kuncinya adalah menyimpan kode shell terenkripsi yang berisi malware tahap berikutnya sebagai potongan 8KB dalam log peristiwa, teknik yang belum pernah terlihat sebelumnya dalam serangan dunia nyata, yang kemudian digabungkan dan dieksekusi.
Payload terakhir adalah satu set trojan yang menggunakan dua mekanisme komunikasi yang berbeda — HTTP dengan enkripsi RC4 dan tidak terenkripsi dengan pipa bernama — yang memungkinkannya menjalankan perintah sewenang-wenang, mengunduh file dari URL, meningkatkan hak istimewa, dan mengambil tangkapan layar.
Indikator lain dari taktik penghindaran aktor ancaman adalah penggunaan informasi yang diperoleh dari pengintaian awal untuk mengembangkan tahap berikutnya dari rantai serangan, termasuk penggunaan server jarak jauh yang meniru perangkat lunak sah yang digunakan oleh korban.
“Aktor di balik kampanye ini cukup mumpuni,” kata Legezo. “Kodenya cukup unik, tidak ada kemiripan dengan malware yang dikenal.”
Pengungkapan ini muncul saat para peneliti Sysdig mendemonstrasikan cara untuk mengkompromikan container read-only dengan malware tanpa file yang dijalankan dalam memori dengan memanfaatkan kelemahan kritis di server Redis.