Phần mềm độc hại BLISTER mới sử dụng chứng chỉ ký mã để trốn tránh sự phát hiện

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một chiến dịch trốn tránh phần mềm độc hại sử dụng chứng chỉ ký mã hợp lệ để vượt qua các biện pháp bảo vệ an ninh và nằm trong tầm ngắm với mục tiêu triển khai các tải trọng Cobalt Strike và BitRAT trên các hệ thống bị xâm nhập.

Hệ nhị phân, một bộ tải, đã được các nhà nghiên cứu từ Elastic Security đặt tên là “Blister”, với các mẫu phần mềm độc hại có khả năng phát hiện không đáng kể đến bằng không trên VirusTotal. Như đã viết, vector lây nhiễm được sử dụng để phân chia giai đoạn tấn công, cũng như các mục tiêu cuối cùng của cuộc xâm nhập, vẫn chưa được biết.

Một khía cạnh đáng chú ý của các cuộc tấn công là chúng sử dụng chứng chỉ ký mã hợp lệ do Sectigo cấp . Phần mềm độc hại đã được quan sát thấy đã ký với chứng chỉ được đề cập từ ngày 15 tháng 9 năm 2021. Elastic cho biết họ đã liên hệ với công ty để đảm bảo rằng các chứng chỉ bị lạm dụng sẽ bị thu hồi.

Các nhà nghiên cứu Joe Desimone và Samir Bousseaden cho biết: “Các tệp thực thi có chứng chỉ ký mã hợp lệ thường được xem xét kỹ lưỡng ở mức độ thấp hơn các tệp thực thi không được ký . “Việc sử dụng chúng cho phép những kẻ tấn công ở trong tầm ngắm và tránh bị phát hiện trong một thời gian dài hơn.”

Chứng chỉ ký mã

Vỉ giả mạo như một thư viện hợp pháp có tên ” colorui.dll ” và được phân phối qua ống nhỏ giọt có tên ” dxpo8umrzrr1w6gm.exe .” Sau khi thực thi, trình tải được thiết kế để ở chế độ ngủ trong 10 phút, có khả năng nhằm trốn tránh phân tích hộp cát, chỉ để theo dõi nó bằng cách thiết lập tính bền bỉ và giải mã một phần mềm độc hại được nhúng như Cobalt Strike hoặc BitRAT .

Các nhà nghiên cứu lưu ý: “Sau khi được giải mã, trọng tải được nhúng sẽ được tải vào quy trình hiện tại hoặc được đưa vào quy trình WerFault.exe [Báo cáo lỗi Windows] mới được tạo ra”. Có thể truy cập các chỉ số bổ sung về sự thỏa hiệp (IoC) liên quan đến chiến dịch tại đây .

Đề xuất cho bạn

Về tác giả: Vương Công Minh

Cậu IT Minh năm nay mới 18 tủi thôi hiện đang là 1 Freelancer dạo. Sở Thích: Ăn Uống, Du Lịch, Khám Phá Công Nghệ, Thiết Kế Website, Webmaster, Làm SEO, SysAdmin,... tất cả mọi thứ liên quan đến công nghệ. Phương châm sống là không tin vào những thứ làm giàu nhanh. Chỉ tin vào việc học tập và làm việc chăm chỉ, thêm giá trị, thêm kiến thức, ứng dụng công nghệ, tăng cường ngoại giao và phục vụ nhiều người mới là con đường đúng đắn nhất để làm giàu thành công.

Để lại bình luận tại đây nhé: