«Лаборатория Касперского» задокументировала кампанию, которая направлена на распространение бесфайлового вредоносного ПО, которое скрывается в журналах событий Windows.
В своём отчёте исследователи сообщили, что первая фаза кампании началась ещё в сентябре 2021 года. На тот момент злоумышленники использовали для распространения вредоносного ПО модуль Cobalt Strike.
«Метод использования журналов событий Windows для сокрытия вредоносных программ ранее не встречался в реальных атаках», — заявляют эксперты. Атаки не несут большой серьёзности, но отличаются использованием встроенных API-функций Windows для обеспечения скрытности заражения.
По данным «Касперского», злоумышленники также подписывают вредоносные файлы цифровыми подписями, которые сами же выдают. Для своих атак группа использует Cobalt Strike, NetSPI, различные пользовательские модули и сторонний код.