„კასპერსკის ლაბორატორიის“ ექსპერტებმა აღმოაჩინეს უჩვეულო მავნე პროგრამა, რომელიც მავნე პროგრამების შესანახად იყენებს Windows-ის მოვლენის ჟურნალებს. უფრო მეტიც, თავდამსხმელები სარგებლობენ ტექნიკის ფართო სპექტრით, მათ შორის ლეგალური შეღწევადობის ტესტირების SilentBreak და CobaltStrike ინსტრუმენტებით. ინფიცირების ჯაჭვი ასევე მოიცავს დამხმარე მოდულების მთელ კომპლექტს, მათ შორის Go ენაზე დაწერილი მოდულებსაც. ისინი გამოიყენება იმისათვის, რომ შექმნან სირთულეები ბოლო დონის ტროიანების აღმოჩენისას.
როგორც „კასპერსკის ლაბორატორია“ გვაცნობებს, ადრე ექსპერტებისათვის ცნობილი არ ყოფილა Windows-ის მოვლენის ჟურნალებში მავნე კოდის დამალვის ტექნიკა. სისტემის პირველადი დაინფიცირების პასუხისმგებელია მსხვერპლის მიერ გადმოტვირთული მოდული არქივიდან. ზოგიერთი ფაილი ხელმოწერილია ციფრული სერთიფიკატით რატა უფრო ადვილად ვენდოთ მათ. ეს ჯაჭვი მთავრდება ინფიცირებული მოწყობილობების დისტანციური მართვისთვის განკუთვნილი რამდენიმე ტროიანებით. ისინი განსხვავდებიან ბრძანებების გადაცემის ხერხით (HTTP ან ზემოთნახსენები არხები) და მათი ნაკრებითაც კი. ტროას ზოგიერთ ვერსიას აქვს ათობით ასეთი ბრძანება.
„ორი კომერციული ხელსაწყოს და მოდულების დიდი რაოდენობით ერთდროულად გამოყენების გარდა, ჩვენ ძალიან გვაინტერესებდა ის ფაქტი, რომ დაშიფრული shellcode ინახება Windows-ის ღონისძიებების ჟურნალში. სისტემაში მავნე პროგრამების არსებობის დამალვის ასეთი ტექნიკა შეიძლება დაემატოს MITER მატრიცას“, – წერს „კასპერსკის ლაბორატორიის“ კიბერუსაფრთხოების წამყვანი ექსპერტი დენის ლეგეზო.
უფაილო პროგრამული უზრუნველყოფისა და მსგავსი საფრთხეებისგან თავის დასაცავად, კომპანია გირჩევთ დააინსტალიროთ უსაფრთხოების ეფექტური გადაწყვეტილება, რომელსაც აქვს ფაილის ქცევაში ანომალიების აღმომჩენი კომპონენტი და შეუძლია მავნე პროგრამის გამომჟღავნება; გამოიყენოთ EDR გადაწყვეტა და რთული მიზანმიმართული შეტევების წინააღმდეგ მებრძოლი პროდუქტი, გარდა ამისა უნდა უზრუნველყოთ მონიტორინგის ცენტრის თანამშრომლების (SOC) წვდომა უახლეს ანალიტიკაზე და რეგულარულად გააუმჯობესოთ მათი პროფესიული მომზადების დონე ტრენინგების მეშვეობით; გამოიყენოთ ბოლო წერტილების დაცვის გადაწყვეტილებები და სპეციალიზებული სერვისები, რომლებიც აგარიდებთ ყველაზე პროგრესულ თავდასხმებს, საშუალებას მოგცემთ ამოიცნოთ და შეაჩეროთ თავდასხმა ადრეულ ეტაპზე, მანამდე სანამ თავდამსხმელები შესძლებენ თავიანთი მიზნების კიღწევას.
Windows-ის მოვლენების ჟურნალის გამოყენებით მავნე ქმედებების შესახებ უფრო დაწვრილებით შეგიძლიათ გაეცნოთ ბმულზე: https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/.
