أنشرها:

جاكرتا - في تحقيق حديث، اكتشف خبراء كاسبرسكي حملة برامج ضارة مستهدفة محددة إلى حد ما.

يتميز هذا النشاط باستخدامه المبتكر لسجلات أحداث Windows لتخزين البرامج الضارة ، ومجموعة رائعة من تقنيات الهجوم ، مثل مجموعات اختبار الاختراق التجارية وأغلفة مكافحة الكشف بما في ذلك تلك التي تم تجميعها باستخدام Go. يتم استخدام بعض أحصنة طروادة في المراحل المتأخرة أثناء النشاط.

اكتشف خبراء كاسبرسكي حملة برامج ضارة مستهدفة تستخدم تقنية فريدة لإخفاء البرامج الضارة "بدون ملفات" في سجلات أحداث Windows. تتم العدوى الأولية للنظام عبر وحدة الحاضنة من الأرشيف الذي تم تنزيله من قبل الضحية.

يستخدم المهاجمون مجموعة متنوعة من الأغلفة المضادة للكشف التي لا مثيل لها للحفاظ على حصان طروادة في المرحلة الأخيرة من أن يكون واضحا للغاية. لتجنب المزيد من الكشف ، يتم توقيع بعض الوحدات باستخدام شهادات رقمية.

يستخدم المهاجمون نوعين من أحصنة طروادة للمرحلة الأخيرة. يتم استخدامه للحصول على مزيد من الوصول إلى النظام ، ويتم إرسال الأوامر من خادم التحكم بطريقتين ، وهما عبر اتصال شبكة HTTP واستخدام الأنابيب المسماة. تستخدم بعض إصدارات حصان طروادة بنجاح نظام أوامر يحتوي على عشرات الأوامر من C2.

وتشمل الحملة أيضا أدوات اختبار الاختراق التجارية، وهي SilentBreak وCobaltStrike. فهو يجمع بين التقنيات المعروفة مع أجهزة فك التشفير المخصصة واستخدام سجلات أحداث Windows الأولى المرصودة لإخفاء shellcode في النظام.

"نحن نشهد تقنية جديدة ومثيرة للبرامج الضارة المستهدفة. بالنسبة لمثل هذه الهجمات ، يقوم مجرمو الإنترنت بتخزين ثم تنفيذ رمز shell مشفر من سجلات أحداث Windows ، "قال دينيس ليجيزو ، الباحث الأمني الرئيسي في كاسبرسكي في بيان.

وأضاف ليجيزو أنه نهج لم يروه من قبل، وفي الوقت نفسه سلط الضوء على أهمية البقاء في حالة تأهب للتهديدات التي يمكن أن تفاجئك.

"نعتقد أنه من المفيد إضافة تقنية سجلات الأحداث إلى قسم "توقع الدفاع" في مصفوفة MITER في قسم "إخفاء القطع الأثرية" الخاص بها" ، تابع.

وقال أيضا إن استخدام العديد من أجنحة اختبار الاختراق التجاري ليس أيضا شيئا تراه كل يوم.

لحماية نفسك من البرامج الضارة التي لا تحتوي على ملفات والتهديدات المشابهة، توصي Kaspersky بما يلي:

استخدم حلا موثوقا به لأمان نقطة النهاية. يقوم بتثبيت حلول مكافحة APT واستجابة نقطة النهاية (EDR) ، مما يتيح اكتشاف التهديدات واكتشافها والتحقيق فيها وقدرات معالجة الحوادث في الوقت المناسب. أيضا ، امنح فريق SOC الخاص بك إمكانية الوصول إلى أحدث معلومات التهديدات وقم بترقيتها بانتظام من خلال التدريب الاحترافي. ادمج الحماية المناسبة لنقاط النهاية والخدمات المخصصة التي يمكن أن تساعد في الحماية من الهجمات رفيعة المستوى.

The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)