#news Обнаружен новый способ доставки малвари, на этот раз через логи журнала событий в винде.
Впечатляющая по своей технической продвинутости и используемым инструментам атака идёт через подмену wer.dll, который затем пишет вредоносный шелл-код в журнал событий службы управления ключами. Злоумышленник использовал различные методы и фреймворки для доставки зловреда, в том числе Cobalt Strike и NetSPI.
Применение этого метода на практике спецы видят впервые, и связать эту атаку с какой-либо из известных группировок пока не удалось. Но ясно, что кампания была целевой, то есть, скорее всего, предназначалась для кражи ценных данных. Так «набитый малварью KMS» приобретает новый подтекст…
@tomhunter