alexzir
06.05.2022, 17:08
«Лаборатория Касперского» поймала трояна, который использует новую технику сокрытия в ОС — прячется в журналах событий Windows. Таким образом вредоносу удается оставаться незамеченным в файловой системе. Сам метод зафиксировали в феврале 2022 года, а первые атаки с его использованием датируются аж сентябрем 2021-го. В Kaspersky говорят, что раньше не видели подобного — журнал событий используется для маскировки вредоноса в реальных атаках. Специалисты пока не могут установить, кто стоит за атаками, но группировка выделяется патчингом «родных» API Windows, связанных с отслеживанием событий в ОС и интерфейсом AMSI.
Сигнатура вредоноса:
Organization: Fast Invest ApS
E-mail: sencan.a@yahoo.com (mailto:sencan.a@yahoo.com)
Thumbprint 99 77 16 6f 0a 94 b6 55 ef df 21 05 2c 2b 27 9a 0b 33 52 c4
Serial 34 d8 cd 9d 55 9e 81 b5 f3 8d 21 d6 58 c4 7d 72
.SpoilerTarget" type="button">Spoiler: Хеши, файло, пути в системе и т.д.
File Hashes (malicious documents, trojans, emails, decoys)
Dropper
822680649CDEABC781903870B34FB7A7 (https://opentip.kaspersky.com/822680649CDEABC781903870B34FB7A7/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
345A8745E1E3AE576FBCC69D3C8A310B (https://opentip.kaspersky.com/345A8745E1E3AE576FBCC69D3C8A310B/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
EF825FECD4E67D5EC5B9666A21FBBA2A (https://opentip.kaspersky.com/EF825FECD4E67D5EC5B9666A21FBBA2A/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
FA5943C673398D834FB328CE9B62AAAD (https://opentip.kaspersky.com/FA5943C673398D834FB328CE9B62AAAD/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
Logs code launcher
2080A099BDC7AA86DB55BADFFBC71566 (https://opentip.kaspersky.com/2080A099BDC7AA86DB55BADFFBC71566/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
0D415973F958AC30CB25BD845319D960 (https://opentip.kaspersky.com/0D415973F958AC30CB25BD845319D960/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
209A4D190DC1F6EC0968578905920641 (https://opentip.kaspersky.com/209A4D190DC1F6EC0968578905920641/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
E81187E1F2E6A2D4D3AD291120A42CE7 (https://opentip.kaspersky.com/E81187E1F2E6A2D4D3AD291120A42CE7/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
HTTP Trojan
ACE22457C868DF82028DB95E5A3B7984 (https://opentip.kaspersky.com/ACE22457C868DF82028DB95E5A3B7984/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
1CEDF339A13B1F7987D485CD80D141B6 (https://opentip.kaspersky.com/1CEDF339A13B1F7987D485CD80D141B6/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
24866291D5DEEE783624AB51516A078F (https://opentip.kaspersky.com/24866291D5DEEE783624AB51516A078F/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
13B5E1654869985F2207D846E4C0DBFD (https://opentip.kaspersky.com/13B5E1654869985F2207D846E4C0DBFD/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
Named pipes trojan and similar
59A46DB173EA074EC345D4D8734CB89A (https://opentip.kaspersky.com/59A46DB173EA074EC345D4D8734CB89A/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
0B40033FB7C799536C921B1A1A02129F (https://opentip.kaspersky.com/0B40033FB7C799536C921B1A1A02129F/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
603413FC026E4713E7D3EEDAB0DF5D8D (https://opentip.kaspersky.com/603413FC026E4713E7D3EEDAB0DF5D8D/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
Anti-detection wrappers/decryptors/launchers, not malicious by themselves
42A4913773BBDA4BC9D01D48B4A7642F (https://opentip.kaspersky.com/42A4913773BBDA4BC9D01D48B4A7642F/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
9619E13B034F64835F0476D68220A86B (https://opentip.kaspersky.com/9619E13B034F64835F0476D68220A86B/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
0C0ACC057644B21F6E76DD676D4F2389 (https://opentip.kaspersky.com/0C0ACC057644B21F6E76DD676D4F2389/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
16EB7B5060E543237ECA689BDC772148 (https://opentip.kaspersky.com/16EB7B5060E543237ECA689BDC772148/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
54271C17684CA60C6CE37EE47B5493FB (https://opentip.kaspersky.com/54271C17684CA60C6CE37EE47B5493FB/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
77E06B01787B24343F62CF5D5A8F9995 (https://opentip.kaspersky.com/77E06B01787B24343F62CF5D5A8F9995/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
86737F0AE8CF01B395997CD5512B8FC8 (https://opentip.kaspersky.com/86737F0AE8CF01B395997CD5512B8FC8/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
964CB389EBF39F240E8C474E200CAAC3 (https://opentip.kaspersky.com/964CB389EBF39F240E8C474E200CAAC3/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
59A46DB173EA074EC345D4D8734CB89A (https://opentip.kaspersky.com/59A46DB173EA074EC345D4D8734CB89A/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
A5C236982B0F1D26FB741DF9E9925018 (https://opentip.kaspersky.com/A5C236982B0F1D26FB741DF9E9925018/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
D408FF4FDE7870E30804A1D1147EFE7C (https://opentip.kaspersky.com/D408FF4FDE7870E30804A1D1147EFE7C/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
DFF3C0D4F6E2C26936B9BD82DB5A1735 (https://opentip.kaspersky.com/DFF3C0D4F6E2C26936B9BD82DB5A1735/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
E13D963784C544B94D3DB5616E50B8AE (https://opentip.kaspersky.com/E13D963784C544B94D3DB5616E50B8AE/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
E9766C71159FC2051BBFC48A4639243F (https://opentip.kaspersky.com/E9766C71159FC2051BBFC48A4639243F/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
F3DA1E157E3E344788886B3CA29E02BD (https://opentip.kaspersky.com/F3DA1E157E3E344788886B3CA29E02BD/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
Host-based IoCs
C:\Windows\Tasks\wer.dll
C:\Windows\Tasks\WerFault.exe copy of the legit one to sideload the malicious .dll
Named pipe MonolithPipe
Event logs with category 0x4142 in Key Management Service source. Events ID auto increments starting from 1423.
PDB paths
C:\Users\admin\source\repos\drx\x64\Release\sb.pdb
C:\Users\admin\source\repos\drx\x64\Release\zOS.pd b
C:\Users\admin\source\repos\drx\x64\Release\Throwb ackDLL.pdb
C:\Users\admin\source\repos\drx\x64\Release\drxDLL .pdb
C:\Users\admin\source\repos\drx\x64\Release\monoli thDLL.pdb
Киберпреступники тщательно маскируют свои кампании: используют похожие на легальные доменные имена, частные серверы для хостинга и механизмы ухода от детектирования. Они даже выпускают собственные цифровые сертификаты.
Домен IP Впервые замечен ASN
ASN eleed[.]online 178.79.176[.]136 15 января 2022 63949 – Linode
eleed[.]cloud 178.79.176[.]136 – 63949 – Linode
timestechnologies[.]org 93.95.228[.]97 17 января 2022 44925 – The 1984
avstats[.]net 93.95.228[.]97 17 января 2022 44925 – The 1984
mannlib[.]com 162.0.224[.]144 20 августа 2021 22612 – Namecheap
nagios.dreamvps[.]com 185.145.253[.]62 17 января 2022 213038 – DreamVPS
opswat[.]info 194.195.241[.]46 11 января 2022 63949 – Linode – 178.79.176[.]1 – 63949 – Linode
Попавший в систему троян отправляет данные на удаленный сервер. Сама программа может снимать цифровой отпечаток зараженной машины, внедрять код в процессы, переходить в спящий режим или просто завершить сеанс операционной системы. Все команды отдаются командным центром — C2, находящимся под управлением злоумышленников.
Источник: https://www.anti-malware.ru/news/2022-05-05-118537/38641
Более подробное описание на буржуинском: https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/
Сигнатура вредоноса:
Organization: Fast Invest ApS
E-mail: sencan.a@yahoo.com (mailto:sencan.a@yahoo.com)
Thumbprint 99 77 16 6f 0a 94 b6 55 ef df 21 05 2c 2b 27 9a 0b 33 52 c4
Serial 34 d8 cd 9d 55 9e 81 b5 f3 8d 21 d6 58 c4 7d 72
.SpoilerTarget" type="button">Spoiler: Хеши, файло, пути в системе и т.д.
File Hashes (malicious documents, trojans, emails, decoys)
Dropper
822680649CDEABC781903870B34FB7A7 (https://opentip.kaspersky.com/822680649CDEABC781903870B34FB7A7/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
345A8745E1E3AE576FBCC69D3C8A310B (https://opentip.kaspersky.com/345A8745E1E3AE576FBCC69D3C8A310B/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
EF825FECD4E67D5EC5B9666A21FBBA2A (https://opentip.kaspersky.com/EF825FECD4E67D5EC5B9666A21FBBA2A/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
FA5943C673398D834FB328CE9B62AAAD (https://opentip.kaspersky.com/FA5943C673398D834FB328CE9B62AAAD/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
Logs code launcher
2080A099BDC7AA86DB55BADFFBC71566 (https://opentip.kaspersky.com/2080A099BDC7AA86DB55BADFFBC71566/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
0D415973F958AC30CB25BD845319D960 (https://opentip.kaspersky.com/0D415973F958AC30CB25BD845319D960/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
209A4D190DC1F6EC0968578905920641 (https://opentip.kaspersky.com/209A4D190DC1F6EC0968578905920641/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
E81187E1F2E6A2D4D3AD291120A42CE7 (https://opentip.kaspersky.com/E81187E1F2E6A2D4D3AD291120A42CE7/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
HTTP Trojan
ACE22457C868DF82028DB95E5A3B7984 (https://opentip.kaspersky.com/ACE22457C868DF82028DB95E5A3B7984/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
1CEDF339A13B1F7987D485CD80D141B6 (https://opentip.kaspersky.com/1CEDF339A13B1F7987D485CD80D141B6/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
24866291D5DEEE783624AB51516A078F (https://opentip.kaspersky.com/24866291D5DEEE783624AB51516A078F/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
13B5E1654869985F2207D846E4C0DBFD (https://opentip.kaspersky.com/13B5E1654869985F2207D846E4C0DBFD/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
Named pipes trojan and similar
59A46DB173EA074EC345D4D8734CB89A (https://opentip.kaspersky.com/59A46DB173EA074EC345D4D8734CB89A/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
0B40033FB7C799536C921B1A1A02129F (https://opentip.kaspersky.com/0B40033FB7C799536C921B1A1A02129F/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
603413FC026E4713E7D3EEDAB0DF5D8D (https://opentip.kaspersky.com/603413FC026E4713E7D3EEDAB0DF5D8D/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
Anti-detection wrappers/decryptors/launchers, not malicious by themselves
42A4913773BBDA4BC9D01D48B4A7642F (https://opentip.kaspersky.com/42A4913773BBDA4BC9D01D48B4A7642F/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
9619E13B034F64835F0476D68220A86B (https://opentip.kaspersky.com/9619E13B034F64835F0476D68220A86B/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
0C0ACC057644B21F6E76DD676D4F2389 (https://opentip.kaspersky.com/0C0ACC057644B21F6E76DD676D4F2389/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
16EB7B5060E543237ECA689BDC772148 (https://opentip.kaspersky.com/16EB7B5060E543237ECA689BDC772148/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
54271C17684CA60C6CE37EE47B5493FB (https://opentip.kaspersky.com/54271C17684CA60C6CE37EE47B5493FB/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
77E06B01787B24343F62CF5D5A8F9995 (https://opentip.kaspersky.com/77E06B01787B24343F62CF5D5A8F9995/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
86737F0AE8CF01B395997CD5512B8FC8 (https://opentip.kaspersky.com/86737F0AE8CF01B395997CD5512B8FC8/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
964CB389EBF39F240E8C474E200CAAC3 (https://opentip.kaspersky.com/964CB389EBF39F240E8C474E200CAAC3/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
59A46DB173EA074EC345D4D8734CB89A (https://opentip.kaspersky.com/59A46DB173EA074EC345D4D8734CB89A/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
A5C236982B0F1D26FB741DF9E9925018 (https://opentip.kaspersky.com/A5C236982B0F1D26FB741DF9E9925018/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
D408FF4FDE7870E30804A1D1147EFE7C (https://opentip.kaspersky.com/D408FF4FDE7870E30804A1D1147EFE7C/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
DFF3C0D4F6E2C26936B9BD82DB5A1735 (https://opentip.kaspersky.com/DFF3C0D4F6E2C26936B9BD82DB5A1735/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
E13D963784C544B94D3DB5616E50B8AE (https://opentip.kaspersky.com/E13D963784C544B94D3DB5616E50B8AE/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
E9766C71159FC2051BBFC48A4639243F (https://opentip.kaspersky.com/E9766C71159FC2051BBFC48A4639243F/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
F3DA1E157E3E344788886B3CA29E02BD (https://opentip.kaspersky.com/F3DA1E157E3E344788886B3CA29E02BD/?utm_source=SL&utm_medium=SL&utm_campaign=SL)
Host-based IoCs
C:\Windows\Tasks\wer.dll
C:\Windows\Tasks\WerFault.exe copy of the legit one to sideload the malicious .dll
Named pipe MonolithPipe
Event logs with category 0x4142 in Key Management Service source. Events ID auto increments starting from 1423.
PDB paths
C:\Users\admin\source\repos\drx\x64\Release\sb.pdb
C:\Users\admin\source\repos\drx\x64\Release\zOS.pd b
C:\Users\admin\source\repos\drx\x64\Release\Throwb ackDLL.pdb
C:\Users\admin\source\repos\drx\x64\Release\drxDLL .pdb
C:\Users\admin\source\repos\drx\x64\Release\monoli thDLL.pdb
Киберпреступники тщательно маскируют свои кампании: используют похожие на легальные доменные имена, частные серверы для хостинга и механизмы ухода от детектирования. Они даже выпускают собственные цифровые сертификаты.
Домен IP Впервые замечен ASN
ASN eleed[.]online 178.79.176[.]136 15 января 2022 63949 – Linode
eleed[.]cloud 178.79.176[.]136 – 63949 – Linode
timestechnologies[.]org 93.95.228[.]97 17 января 2022 44925 – The 1984
avstats[.]net 93.95.228[.]97 17 января 2022 44925 – The 1984
mannlib[.]com 162.0.224[.]144 20 августа 2021 22612 – Namecheap
nagios.dreamvps[.]com 185.145.253[.]62 17 января 2022 213038 – DreamVPS
opswat[.]info 194.195.241[.]46 11 января 2022 63949 – Linode – 178.79.176[.]1 – 63949 – Linode
Попавший в систему троян отправляет данные на удаленный сервер. Сама программа может снимать цифровой отпечаток зараженной машины, внедрять код в процессы, переходить в спящий режим или просто завершить сеанс операционной системы. Все команды отдаются командным центром — C2, находящимся под управлением злоумышленников.
Источник: https://www.anti-malware.ru/news/2022-05-05-118537/38641
Более подробное описание на буржуинском: https://securelist.com/a-new-secret-stash-for-fileless-malware/106393/