Исследователи «Лаборатории Касперского» обнаружили вредоносную кампанию, в ходе которой для незаметного заражения систем бесфайловым вредоносным ПО хакеры используют ранее неизвестную технику.
Техника заключается во внедрении шелл-кода непосредственно в журнал событий Windows, что позволяет использовать журнал событий для сокрытия троянов, использующихся на последних этапах кибератаки.
Специалисты выявили вредоносную кампанию в феврале 2022 года, и в прошлом месяце она все еще была активна. Поскольку использующееся в кибератаках вредоносное ПО является уникальным, специалисты затрудняются отнести ее на счет какой-либо известной киберпреступной группировки. Как бы то ни было, стоящие за кампанией хакеры являются весьма умелыми, уверены эксперты.
«Мы считаем ранее не встречавшуюся нам технику с использованием журналов событий самой инновационной частью данной кампании», - отметил старший исследователь безопасности ЛК Денис Легезо.
В ходе кибератак хакеры используют ряд инструментов для внедрения кода и технику обхода обнаружения для доставки вредоносного ПО.
На первом этапе атаки злоумышленники заманивают жертву на легитимный сайт и обманом вынуждают загрузить сжатый файл .RAR, содержащий инструменты для тестирования сетей на проникновение Cobalt Strike и SilentBreak. С помощью этих инструментов они могут внедрять код в любой процесс, в частности, загружать дополнительные модули в системные процессы Windows или процессы доверенных приложений наподобие DLP.
Такой способ внедрения вредоносного ПО в память атакуемой системы называется бесфайловым и не является чем-то новым. Однако в отличие от предыдущих атак с использованием бесфайлового вредоносного ПО, в ходе выявленной ЛК новой кампании для обхода обнаружения код делится на блоки объемом по 8 КБ и сохраняется в двоичной части журналов событий.
По словам Легезо, «дроппер не только загружает на диск лаунчер для загрузки по сторонним каналам, но также записывает информационные сообщения с шелл-кодом в существующий журнал событий Windows KMS».
Далее лаунчер загружается в директорию задач Windows. В точке входа отдельный поток собирает все вышеупомянутые блоки по 8 КБ в один шелл-код и запускает его.
Однако журнал событий используется хакерами не только для загрузки шелл-кодов. Модули дроппера также «патчат» нативные API-функции Windows, относящиеся к отслеживанию событий и AMSI, благодаря чему процесс заражения становится еще более незаметным.
Руководители OpenAI, Anthropic, Google DeepMind, Microsoft AI и других технологических компаний подписали открытое письмо к Конгрессу США с призывом ввести обязательную проверку заказов на синтетические ДНК и РНК.
Apple заявила, что мессенджер Max был удален из App Store из-за правил соблюдения санкций: в комментарии Русской службе BBC компания уточнила, что соблюдает законы юрисдикций, в которых работает, но не раскрыла, о каких именно санкциях идет речь.
Исследователи Google разработали систему Passive Heart Rate Monitoring, которая позволяет измерять частоту сердечных сокращений и пульс в состоянии покоя с помощью обычной фронтальной камеры смартфона.
Российская индустрия информационной безопасности в ближайшие годы способна дорасти до годового объема в 1 трлн рублей.
На полях Петербургского международного экономического форума заместитель генерального директора «Газпром-Медиа Холдинга» Сергей Косинский, возглавляющий направление цифровых активов, представил аналитический срез ключевых ИБ-вызовов медиаиндустрии.
Заместитель начальника Аналитического центра кибербезопасности ООО «Газинформсервис» Светлана Лагутина выступит с докладом на «Электро-2026».
На Петербургском международном экономическом форуме состоялась профильная сессия Сбера «Цифровой самозванец: новое оружие массового поражения».
В рамках участия в проекте студенты получили практические знания по работе с программными продуктами «Группы Астра», в частности с Astra Linux — российской операционной системой № 1.
Наиболее атакуемыми отраслями остаются телеком, финансовый сектор и государственные организации; мощность отдельных атак выросла на 173%, а атаки свыше 200 Гбит/с участились на 215%.
В Москве на площадке «Группы Астра» состоялось заседание Комитета по информационным технологиям Ассоциации менеджеров, посвященное теме: «Кибербезопасность: защита от атак, которые могут остановить бизнес».
