Меню Закрыть

Даркнет маркет, сайт OMG! Хакеры прячут бесфайловое вредоносное ПО в журналах событий Windows

Ссылка на Гидра сайт зеркало – hydra2web.cm
Ссылка на Гидра через Tor: hydrarulpfiemp3khy7bjlmdbgeewzghah2p2vail4gc3xlxkq3dsvyd.onion

---------------------------------------------------------------------

Ссылка на OMG – http://omgomgomgjnzdsg56m7g2u6nhhpexn7e6qrlpzhng7yhm52gnbov7fad.onion
Ссылка на зеркало OMG: https://omgomg.store

Зеркало на ОМГ!

Специалисты выявили вредоносную кампанию в феврале 2022 года, и в прошлом месяце она все еще была активна.

Исследователи «Лаборатории Касперского» обнаружили вредоносную кампанию, в ходе которой для незаметного заражения систем бесфайловым вредоносным ПО хакеры используют ранее неизвестную технику.

Техника заключается во внедрении шелл-кода непосредственно в журнал событий Windows, что позволяет использовать журнал событий для сокрытия троянов, использующихся на последних этапах кибератаки.

Специалисты выявили вредоносную кампанию в феврале 2022 года, и в прошлом месяце она все еще была активна. Поскольку использующееся в кибератаках вредоносное ПО является уникальным, специалисты затрудняются отнести ее на счет какой-либо известной киберпреступной группировки. Как бы то ни было, стоящие за кампанией хакеры являются весьма умелыми, уверены эксперты.

«Мы считаем ранее не встречавшуюся нам технику с использованием журналов событий самой инновационной частью данной кампании», — отметил старший исследователь безопасности ЛК Денис Легезо.

Площадка омг сайт

В ходе кибератак хакеры используют ряд инструментов для внедрения кода и технику обхода обнаружения для доставки вредоносного ПО.

На первом этапе атаки злоумышленники заманивают жертву на легитимный сайт и обманом вынуждают загрузить сжатый файл .RAR, содержащий инструменты для тестирования сетей на проникновение Cobalt Strike и SilentBreak. С помощью этих инструментов они могут внедрять код в любой процесс, в частности, загружать дополнительные модули в системные процессы Windows или процессы доверенных приложений наподобие DLP.

Такой способ внедрения вредоносного ПО в память атакуемой системы называется бесфайловым и не является чем-то новым. Однако в отличие от предыдущих атак с использованием бесфайлового вредоносного ПО, в ходе выявленной ЛК новой кампании для обхода обнаружения код делится на блоки объемом по 8 КБ и сохраняется в двоичной части журналов событий.

  Даркнет маркет, сайт OMG! В ходе учений CISA Cyber Storm имитировались атаки на КИ

По словам Легезо, «дроппер не только загружает на диск лаунчер для загрузки по сторонним каналам, но также записывает информационные сообщения с шелл-кодом в существующий журнал событий Windows KMS».

Далее лаунчер загружается в директорию задач Windows. В точке входа отдельный поток собирает все вышеупомянутые блоки по 8 КБ в один шелл-код и запускает его.

Однако журнал событий используется хакерами не только для загрузки шелл-кодов. Модули дроппера также «патчат» нативные API-функции Windows, относящиеся к отслеживанию событий и AMSI, благодаря чему процесс заражения становится еще более незаметным.

Зеркала Гидра тор

Добавить комментарий