На проходящей в Сингапуре конференции Black Hat Asia были представлены два новых способа использования волокон Windows (fibers) для выполнения вредоносного кода.Anti-Malware.ru
Возможность злоупотреблений проверялась неоднократно; так, в 2022 году были опубликованы PoC-методы сокрытия в волокне шеллкода и маскировки стека вызовов с помощью спящего волокна (добавлен в набор Cobalt Strike).Anti-Malware.ru
Разработка Phantom Thread использует второй подход, но при этом возможность обнаружить зловреда сканированием памяти полностью исключена.Anti-Malware.ru
Публиковать другие подробности и PoC-коды Джэри пока не собирается, но советует ИБ-службам включить Windows Fibers в список потенциальных векторов атаки, а EDR-защиту постоянно проверять на готовность к новым угрозам.Anti-Malware.ru