Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Новое вредоносное ПО Blister использует цифровые сертификаты для обхода обнаружения

27/12/21

hack40-Dec-27-2021-09-42-51-59-AMСпециалисты ИБ-компании Elastic Security рассказали о вредоносной кампании, в ходе которой злоумышленники используют цифровые сертификаты для обхода решений безопасности и тайной установки Cobalt Strike и BitRAT на скомпрометированные системы.

Загрузчик вредоносного ПО с незначительным или нулевым обнаружением на VirusTotal получил название Blister. Вектор заражения, использованный для организации атаки, и конечные цели злоумышленников остаются неизвестными.

Как уже упоминалось, отличительной чертой атак является использование действительных цифровых сертификатов, выпущенных удостоверяющим центром Sectigo. Вредоносное ПО подписано с помощью сертификата от 15 сентября 2021 года. По словам исследователей, они обратились к УЦ для того, чтобы он отозвал скомпрометированные сертификаты.

«Зачастую исполняемые файлы, подписанные действительными сертификатами, исследуются в меньшей степени, чем неподписанные исполняемые файлы. Их использование позволяет злоумышленникам оставаться вне поля зрения и уклоняться от обнаружения в течение более длительного периода времени», - сообщили исследователи Джо Десимоне (Joe Desimone) и Самир Буссеаден (Samir Bousseaden).

Blister маскируется под легитимную библиотеку colorui.dll и доставляется на атакуемую систему с помощью дроппера dxpo8umrzrr1w6gm.exe. После выполнения загрузчик на 10 минут переходит в режим ожидания, скорее всего, чтобы обойти анализ песочницы. Затем он получает постоянство на системе и расшифровывает встроенную вредоносную нагрузку Cobalt Strike или BitRAT.

После расшифровки встроенная полезная нагрузка загружается в текущий процесс или внедряется в запущенный процесс WerFault.exe [Windows Error Reporting].

Темы:УгрозыRATЦифровизация
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...