Контакты
Подписка 2023
МЕНЮ
Контакты
Подписка

Новое вредоносное ПО Blister использует цифровые сертификаты для обхода обнаружения

27/12/21

hack40-Dec-27-2021-09-42-51-59-AMСпециалисты ИБ-компании Elastic Security рассказали о вредоносной кампании, в ходе которой злоумышленники используют цифровые сертификаты для обхода решений безопасности и тайной установки Cobalt Strike и BitRAT на скомпрометированные системы.

Загрузчик вредоносного ПО с незначительным или нулевым обнаружением на VirusTotal получил название Blister. Вектор заражения, использованный для организации атаки, и конечные цели злоумышленников остаются неизвестными.

Как уже упоминалось, отличительной чертой атак является использование действительных цифровых сертификатов, выпущенных удостоверяющим центром Sectigo. Вредоносное ПО подписано с помощью сертификата от 15 сентября 2021 года. По словам исследователей, они обратились к УЦ для того, чтобы он отозвал скомпрометированные сертификаты.

«Зачастую исполняемые файлы, подписанные действительными сертификатами, исследуются в меньшей степени, чем неподписанные исполняемые файлы. Их использование позволяет злоумышленникам оставаться вне поля зрения и уклоняться от обнаружения в течение более длительного периода времени», - сообщили исследователи Джо Десимоне (Joe Desimone) и Самир Буссеаден (Samir Bousseaden).

Blister маскируется под легитимную библиотеку colorui.dll и доставляется на атакуемую систему с помощью дроппера dxpo8umrzrr1w6gm.exe. После выполнения загрузчик на 10 минут переходит в режим ожидания, скорее всего, чтобы обойти анализ песочницы. Затем он получает постоянство на системе и расшифровывает встроенную вредоносную нагрузку Cobalt Strike или BitRAT.

После расшифровки встроенная полезная нагрузка загружается в текущий процесс или внедряется в запущенный процесс WerFault.exe [Windows Error Reporting].

Темы:УгрозыRATЦифровые сертификаты

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...