«Лаборатория Касперского» поймала трояна, который использует новую технику сокрытия в ОС — прячется в журналах событий Windows. Таким образом вредоносу удается оставаться незамеченным в файловой системе. Сам метод зафиксировали в феврале 2022 года, а первые атаки с его использованием датируются аж сентябрем 2021-го. В Kaspersky говорят, что раньше не видели подобного — журнал событий используется для маскировки вредоноса в реальных атаках. Специалисты пока не могут установить, кто стоит за атаками, но группировка выделяется патчингом «родных» API Windows, связанных с отслеживанием событий в ОС и интерфейсом AMSI. Сигнатура вредоноса: Organization: Fast Invest ApS E-mail: sencan.a@yahoo.com Thumbprint 99 77 16 6f 0a 94 b6 55 ef df 21 05 2c 2b 27 9a 0b 33 52 c4 Serial 34 d8 cd 9d 55 9e 81 b5 f3 8d 21 d6 58 c4 7d 72 Spoiler: Хеши, файло, пути в системе и т.д. File Hashes (malicious documents, trojans, emails, decoys) Dropper 822680649CDEABC781903870B34FB7A7 345A8745E1E3AE576FBCC69D3C8A310B EF825FECD4E67D5EC5B9666A21FBBA2A FA5943C673398D834FB328CE9B62AAAD Logs code launcher 2080A099BDC7AA86DB55BADFFBC71566 0D415973F958AC30CB25BD845319D960 209A4D190DC1F6EC0968578905920641 E81187E1F2E6A2D4D3AD291120A42CE7 HTTP Trojan ACE22457C868DF82028DB95E5A3B7984 1CEDF339A13B1F7987D485CD80D141B6 24866291D5DEEE783624AB51516A078F 13B5E1654869985F2207D846E4C0DBFD Named pipes trojan and similar 59A46DB173EA074EC345D4D8734CB89A 0B40033FB7C799536C921B1A1A02129F 603413FC026E4713E7D3EEDAB0DF5D8D Anti-detection wrappers/decryptors/launchers, not malicious by themselves 42A4913773BBDA4BC9D01D48B4A7642F 9619E13B034F64835F0476D68220A86B 0C0ACC057644B21F6E76DD676D4F2389 16EB7B5060E543237ECA689BDC772148 54271C17684CA60C6CE37EE47B5493FB 77E06B01787B24343F62CF5D5A8F9995 86737F0AE8CF01B395997CD5512B8FC8 964CB389EBF39F240E8C474E200CAAC3 59A46DB173EA074EC345D4D8734CB89A A5C236982B0F1D26FB741DF9E9925018 D408FF4FDE7870E30804A1D1147EFE7C DFF3C0D4F6E2C26936B9BD82DB5A1735 E13D963784C544B94D3DB5616E50B8AE E9766C71159FC2051BBFC48A4639243F F3DA1E157E3E344788886B3CA29E02BD Host-based IoCs C:\Windows\Tasks\wer.dll C:\Windows\Tasks\WerFault.exe copy of the legit one to sideload the malicious .dll Named pipe MonolithPipe Event logs with category 0x4142 in Key Management Service source. Events ID auto increments starting from 1423. PDB paths C:\Users\admin\source\repos\drx\x64\Release\sb.pdb C:\Users\admin\source\repos\drx\x64\Release\zOS.pdb C:\Users\admin\source\repos\drx\x64\Release\ThrowbackDLL.pdb C:\Users\admin\source\repos\drx\x64\Release\drxDLL.pdb C:\Users\admin\source\repos\drx\x64\Release\monolithDLL.pdb Киберпреступники тщательно маскируют свои кампании: используют похожие на легальные доменные имена, частные серверы для хостинга и механизмы ухода от детектирования. Они даже выпускают собственные цифровые сертификаты. Домен IP Впервые замечен ASN ASN eleed[.]online 178.79.176[.]136 15 января 2022 63949 – Linode eleed[.]cloud 178.79.176[.]136 – 63949 – Linode timestechnologies[.]org 93.95.228[.]97 17 января 2022 44925 – The 1984 avstats[.]net 93.95.228[.]97 17 января 2022 44925 – The 1984 mannlib[.]com 162.0.224[.]144 20 августа 2021 22612 – Namecheap nagios.dreamvps[.]com 185.145.253[.]62 17 января 2022 213038 – DreamVPS opswat[.]info 194.195.241[.]46 11 января 2022 63949 – Linode – 178.79.176[.]1 – 63949 – Linode Попавший в систему троян отправляет данные на удаленный сервер. Сама программа может снимать цифровой отпечаток зараженной машины, внедрять код в процессы, переходить в спящий режим или просто завершить сеанс операционной системы. Все команды отдаются командным центром — C2, находящимся под управлением злоумышленников. Источник: https://www.anti-malware.ru/news/2022-05-05-118537/38641 Более подробное описание на буржуинском: https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/