Eine neue bösartige Kampagne wurde entdeckt, die Windows-Ereignisprotokolle ausnutzt, um zum ersten Mal in freier Wildbahn Shellcode zu verstecken.
Der „dateilose“ Endstufentrojaner kann so unbemerkt im Dateisystem versteckt werden“, so Kaspersky-Forscher Denis Legezo in einem technischen Bericht, der diese Woche veröffentlicht wurde.
Der heimliche Infektionsprozess, der keinem bekannten Akteur zugeschrieben wird, begann vermutlich im September 2021, als die Zielpersonen dazu verleitet wurden, komprimierte .RAR-Dateien herunterzuladen, die Cobalt Strike und Silent Break enthielten.
„Die Verbreitung des Cobalt Strike-Moduls wurde erreicht, indem die Zielpersonen dazu gebracht wurden, den Link zur .RAR-Datei auf der legitimen Website file.io herunterzuladen und sie selbst auszuführen“, erklärte Legezo.
Die Simulationssoftwaremodule der Angreifer werden dann als Startrampe verwendet, um Code in Windows-Systemprozesse oder vertrauenswürdige Anwendungen einzuschleusen.
Bemerkenswert ist auch die Verwendung von Anti-Detection-Wrappern als Teil des Toolsets, was darauf schließen lässt, dass die Betreiber versuchen, unter dem Radar zu fliegen.
Eine der wichtigsten Methoden besteht darin, verschlüsselten Shellcode, der die nächste Stufe der Malware enthält, als 8-KB-Stücke in den Ereignisprotokollen zu speichern – eine in realen Angriffen noch nie dagewesene Technik, die dann kombiniert und ausgeführt wird.
Die endgültige Nutzlast besteht aus einer Reihe von Trojanern, die zwei verschiedene Kommunikationsmechanismen nutzen – HTTP mit RC4-Verschlüsselung und unverschlüsselt mit Named Pipes – die es ihnen ermöglichen, beliebige Befehle auszuführen, Dateien von einer URL herunterzuladen, ihre Rechte zu erweitern und Screenshots zu machen.
Ein weiteres Indiz für die Umgehungstaktik des Bedrohungsakteurs ist die Verwendung von Informationen aus der anfänglichen Erkundung, um die nachfolgenden Stufen der Angriffskette zu entwickeln, einschließlich der Verwendung eines Remote-Servers, der die legitime Software des Opfers imitiert.
„Der Akteur hinter dieser Kampagne ist sehr fähig“, sagte Legezo. „Der Code ist ziemlich einzigartig und hat keine Ähnlichkeiten mit bekannter Malware“.
Die Enthüllung kommt zu einem Zeitpunkt, an dem Sysdig-Forscher gezeigt haben, wie man schreibgeschützte Container mit dateiloser Malware, die im Speicher ausgeführt wird, kompromittieren kann, indem man eine kritische Schwachstelle in Redis-Servern ausnutzt.