In einer scheinbar weltweit ersten Aktion verwendeten Hacker einen benutzerdefinierten Malware-Dropper, um dateilose Malware in Windows-Ereignisprotokolle für Schlüsselverwaltungsdienste (KMS) einzuschleusen.
Die Cybersicherheitsforscher von Kaspersky entdeckten die neue Technik erstmals, nachdem sie eine Benachrichtigung von einem Kunden mit einem infizierten Terminal erhalten hatten. Den Forschern zufolge ist die gesamte Kampagne „sehr zielgerichtet“ und setzt eine breite Palette von Tools ein, von denen einige individuell angepasst und andere kommerziell sind.
Laut Denis Legezo von Kaspersky ist dies das erste Mal, dass diese Technik in freier Wildbahn entdeckt wurde. Wie erläutert, kopiert der Malware-Dropper WerFault.exe, die eigentliche Fehlerbehandlungsdatei des Betriebssystems, in den Ordner C:WindowsTasks und fügt dann eine verschlüsselte Binärressource zu Wer.dll (kurz für Windows Error Reporting) am selben Ordnerspeicherort hinzu. Auf diese Weise kann durch die Übernahme der DLL-Suchreihenfolge Schadcode in das System geladen werden.
SilencioPausa
Der Zweck des Loaders besteht laut Legezo darin, nach bestimmten Zeilen in den Ereignisprotokollen zu suchen. Wenn es sie nicht finden kann, schreibt es Teile des verschlüsselten Shellcodes, die dann die Malware für die nächste Stufe des Angriffs bilden.
Mit anderen Worten: wer.dll dient als Loader und kann ohne den Shellcode in den Windows-Ereignisprotokollen keinen großen Schaden anrichten.
Die gesamte Technik und die Art und Weise, wie sie durchgeführt wurde, seien „beeindruckend“, sagte Legezo der Veröffentlichung. „Der Akteur hinter der Kampagne ist selbst ziemlich geschickt oder verfügt zumindest über einen guten Satz ziemlich tiefgreifender Handelstools“, sagte er und spielte damit auf einen APT-Angreifer an.
Wer der Bedrohungsakteur ist, kann derzeit niemand vermuten. Den Forschern zufolge begann die Kampagne im September 2021 und da sie keine Ähnlichkeiten mit zuvor aufgezeichneten Angriffen aufweist, ist es wahrscheinlich, dass wir es mit einem neuen Spieler zu tun haben.
Forscher nennen den Angreifer vorerst SilentBreak.
Via: BleepingComputer