Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Новое вредоносное ПО Blister использует цифровые сертификаты для обхода обнаружения

27/12/21

hack40-Dec-27-2021-09-42-51-59-AMСпециалисты ИБ-компании Elastic Security рассказали о вредоносной кампании, в ходе которой злоумышленники используют цифровые сертификаты для обхода решений безопасности и тайной установки Cobalt Strike и BitRAT на скомпрометированные системы.

Загрузчик вредоносного ПО с незначительным или нулевым обнаружением на VirusTotal получил название Blister. Вектор заражения, использованный для организации атаки, и конечные цели злоумышленников остаются неизвестными.

Как уже упоминалось, отличительной чертой атак является использование действительных цифровых сертификатов, выпущенных удостоверяющим центром Sectigo. Вредоносное ПО подписано с помощью сертификата от 15 сентября 2021 года. По словам исследователей, они обратились к УЦ для того, чтобы он отозвал скомпрометированные сертификаты.

«Зачастую исполняемые файлы, подписанные действительными сертификатами, исследуются в меньшей степени, чем неподписанные исполняемые файлы. Их использование позволяет злоумышленникам оставаться вне поля зрения и уклоняться от обнаружения в течение более длительного периода времени», - сообщили исследователи Джо Десимоне (Joe Desimone) и Самир Буссеаден (Samir Bousseaden).

Blister маскируется под легитимную библиотеку colorui.dll и доставляется на атакуемую систему с помощью дроппера dxpo8umrzrr1w6gm.exe. После выполнения загрузчик на 10 минут переходит в режим ожидания, скорее всего, чтобы обойти анализ песочницы. Затем он получает постоянство на системе и расшифровывает встроенную вредоносную нагрузку Cobalt Strike или BitRAT.

После расшифровки встроенная полезная нагрузка загружается в текущий процесс или внедряется в запущенный процесс WerFault.exe [Windows Error Reporting].

Темы:УгрозыRATЦифровые сертификаты
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...