Контакты
Подписка 2025
ITSEC 2025
ITSEC 2025: Информационная и кибербезопасность России. Форум для ИБ-специалистов, ИТ-директоров, разработчиков и поставщиков решений
Регистрируйтесь и участвуйте 14-15 октября!

Обновление загрузчика BLISTER делает его почти неуязвимым

07/09/23

hack56-Sep-07-2023-10-42-43-5656-AM

Согласно отчёту Elastic Security Labs, обновленная версия загрузчика вредоносного ПО BLISTER используется как часть цепочек заражения SocGholish для распространения инфраструктуры управления и контроля (C2) с открытым исходным кодом под названием Mythic. По данным Elastic Security Labs, обновление BLISTER включает в себя ключевую функцию, которая позволяет точно нацеливаться на сети жертв и делает вредонос менее заметным в средах виртуальных машин и песочниц.

В BLISTER внедрили новый алгоритм хэширования. Раньше использовались простые методы битового сдвига, теперь же добавлены операции XOR и умножения. По мнению специалистов Elastic, такие изменения помогут злоумышленникам обойти механизмы безопасности, которые опираются на сигнатуры YARA. Более того, загрузчик прячется в легитимном приложении — VLC Media Player для избегания обнаружения.

Ещё одна интересная функция — выборочная активация вредоносного кода только на определенных машинах, что возможно благодаря специальным пометкам в конфигурации кода. Доменное имя извлекается через Windows API. Более тщательный анализ вредоносного ПО показывает, что оно активно поддерживается, причем авторы BLISTER используют множество методов, позволяющих оставаться незамеченными и усложнять анализ.

BLISTER был впервые обнаружен Elastic Security Labs в декабре 2021 года, выступая в качестве канала для распространения полезное нагрузки Cobalt Strike и BitRAT на взломанных системах, поясняет Securitylab. И SocGholish, и BLISTER использовались одновременно в рамках нескольких кампаний, причем BLISTER использовался в качестве загрузчика второго этапа для распространения программ-вымогателей Cobalt Strike и LockBit.

BLISTER — это загрузчик, который продолжает оставаться вне поля зрения и активно используется для загрузки различных вредоносных программ, включая ClipBanker, инфостилеры, трояны и программы-вымогатели.

Темы:УгрозыCobalt StrikeElastic Security Labsвредоносные загрузчики
КИИ
14 октября на Форуме ITSEC 2025: Защищенный удаленный доступ. Технологии безопасной дистанционной работы
Выступить на конференции →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Доверенные решения для защиты российских ОС на базе Linux и миграции
Выступить 14 октября →

Еще темы...

More...