Исследователи безопасности обнаружили вредоносную кампанию, которая использует действующий сертификат подписи кода для маскировки вредоносного кода под легитимные исполняемые файлы.
Одна из полезных нагрузок, которую исследователи назвали Blister, действует как загрузчик для других вредоносных программ и, по-видимому, представляет собой новую угрозу с низким уровнем обнаружения.
Злоумышленник, стоящий за Blister, полагался на несколько методов, чтобы держать свои атаки в поле зрения, и использование сертификатов для подписи кода было лишь одной из их уловок.
Подпись, печать, доставка
Кто бы ни стоял за вредоносным ПО Blister, проводил кампании не менее трех месяцев, по крайней мере с 15 сентября, как выяснили исследователи безопасности из поисковой компании Elastic.Однако злоумышленник использовал сертификат подписи кода, действующий с 23 августа. Он был выпущен поставщиком цифровой идентификации Sectigo для компании Blist LLC с адресом электронной почты российского провайдера Mail.Ru.
источник: эластичный
Использование действительных сертификатов для подписи вредоносных программ - старый прием, которому злоумышленники научились много лет назад. Тогда они крали сертификаты у законных компаний. В наши дни злоумышленники запрашивают действительный сертификат, используя сведения о компании, которую они скомпрометировали, или о подставном бизнесе.
В сообщении в блоге на этой неделе Elastic сообщает, что они ответственно сообщили Sectigo о злоупотреблении сертификатом, чтобы его можно было отозвать.
Исследователи говорят, что злоумышленник использовал несколько методов, чтобы держать атаку незамеченной. Один из способов заключался в том, чтобы встроить вредоносную программу Blister в легитимную библиотеку (например, colorui.dll).
Затем вредоносная программа запускается с повышенными привилегиями с помощью команды rundll32. Подписание действующим сертификатом и развертывание с правами администратора заставляет Blister обходить стороной решения безопасности.
На следующем этапе Blister декодирует код начальной загрузки раздела ресурсов, который, по словам исследователей Elastic, «сильно запутан». В течение десяти минут код остается бездействующим, вероятно, в попытке избежать анализа песочницы.
Затем он начинает действовать, расшифровывая встроенные полезные данные, которые обеспечивают удаленный доступ и разрешают боковое перемещение: Cobalt Strike и BitRAT - оба они использовались множеством злоумышленников в прошлом.
Вредоносная программа обеспечивает постоянство с помощью одной копии в папке ProgramData, а другая - под именем rundll32.exe. Он также добавляется в место запуска, поэтому запускается при каждой загрузке как дочерний элемент explorer.exe.
Исследователи Elastic обнаружили подписанные и неподписанные версии загрузчика Blister, и обе они имели низкий уровень обнаружения с помощью антивирусных механизмов в службе сканирования VirusTotal.
уровень обнаружения неподписанного образца вредоносной программы Blister
Хотя цель этих атак исходного вектора заражения остается неясной, за счет объединения действительных сертификатов подписи кода, вредоносных программ, встроенных в легитимные библиотеки, и выполнения полезных нагрузок в памяти злоумышленники увеличивают свои шансы на успешную атаку.
Elastic создал правило Yara для определения активности Blister и предоставляет индикаторы компрометации, чтобы помочь организациям защититься от угрозы.
Перевод - Google
Bleeping Computer
Последнее редактирование модератором:
