Güvenlik araştırmacıları, kötü niyetli kodu yasal çalıştırma olarak gizlemek için geçerli bir kod imzalama sertifikasına dayanan kötü amaçlı bir kampanyayı ortaya çıkardılar.
Araştırmacıların blister olarak adlandırdığı yüklerden biri, diğer kötü amaçlı yazılımlar için bir yükleyici görevi görür ve düşük bir algılama oranına sahip yeni bir tehdit gibi görünmektedir.
Blister arkasındaki tehdit aktörünün, saldırılarını radarın altına tutmak için birden fazla teknik üzerine güveniyor, kod imzalama sertifikalarının kullanımı sadece hilelerinden biri.
Blister Kötü amaçlı yazılımın arkasında olan kim, en az üç aydır, en az 15 Eylül'den beri, Elastik arama şirketinden güvenlik araştırmacıları bulundu.
Tehdit oyuncusu, 23 Ağustos'tan itibaren geçerli olan bir kod imzalama sertifikası kullandı. Bir Rus sağlayıcı Mail.ru'dan bir e-posta adresi ile Blist LLC adlı bir şirket için dijital kimlik sağlayıcı sectigo tarafından yayınlandı.
Kötü amaçlı yazılım imzalamak için geçerli sertifikaları kullanmak, yıllar önce öğrenilen aktörleri tehdit eden eski bir numaradır. O zamanlar, meşru şirketlerden sertifikaları çaldı. Bu günlerde, tehdit aktörleri, tehlikeye girdikleri bir firmanın veya ön işin ayrıntılarını kullanarak geçerli bir sertifikayı ister.
Bu hafta bir blog yazında elastik, istismar edilen sertifikayı SECTIGO'ya sorumlu bir şekilde bildirdiklerini söylüyor, böylece iptal edilebilecek.
Araştırmacılar, tehdit aktörünün saldırıyı tespit edilmesini sağlamak için birden fazla teknikle ilgili olduğunu söylüyorlar. Bir yöntem, blister kötü amaçlı yazıcıları meşru bir kütüphaneye (örneğin colorui.dll) içine gömmekti.
Kötü amaçlı yazılım daha sonra Rundll32 komutu aracılığıyla yükseltilmiş ayrıcalıklarla yürütülür. Geçerli bir sertifika ile imzalanmak ve yönetici ayrıcalıklarıyla konuşlandırılmış, Blister kayma geçmiş güvenlik çözümlerini yapar.
Bir sonraki adımda, elastik araştırmacıların "ağır şaşkın" olan kaynak bölümünden bootstrating kodundan blister kod çözdü. On dakika boyunca, Kod, Kumba Analizini Koruyor Bir Girişimde Oldukça uyuyakaldı.
Daha sonra uzaktan erişim sağlayan ve lateral harekete izin veren gömülü yüklerin şifresini çözerek harekete geçer: Kobalt grevi ve bitrat - her ikisi de geçmişte birden fazla tehdit aktör tarafından kullanılmıştır.
Kötü amaçlı yazılım, ProgramData klasöründeki bir kopyaya ve başka birinin Rundll32.exe olarak poz veren bir kopyaya devam eder. Ayrıca başlangıç konumuna da eklenir, bu nedenle Explorer.exe'nin bir çocuğu olarak, her önyüklemeyi başlatır.
Elastic'in araştırmacıları, blister yükleyicinin imzalanmış ve imzasız sürümlerini buldular ve her ikisi de virustotal tarama hizmeti üzerindeki antivirüs motorlarıyla düşük bir algılama oranı kullandılar.
İlk enfeksiyon vektörünün bu saldırılarının amacı, geçerli kod imzalama sertifikalarını, kötü amaçlı yazılımların meşru kütüphanelerine gömülü olan kötü amaçlı yazılımların birleştirilmesi ve hafızadaki yüklerin yürütülmesi ile tehdit aktörleri başarılı bir saldırı için şanslarını arttırarak belirsiz kalırken belirsiz kalırken.
Elastik, blister aktivitesini tanımlamak için bir YARA kuralı yarattı ve kuruluşların tehdide karşı savunmasına yardımcı olmak için uzlaşma göstergeleri sundu.
Gizli Yeni JavaScript Kötü Amaçlı Yazılım Fareler ile Windows PC'leri Enfekte
Sahte uçtan uca şifreli sohbet uygulaması android casus yazılımları dağıtır
Emotet daha hızlı saldırılar için yine kobalt vuruşunu bırakmaya başlar
Emotet şimdi kobalt grevi düşer, hızlı ileri sürükler Ransomware saldırıları
Yeni kötü amaçlı yazılım e-ticaret sunucularında yasal nginx işlemi olarak gizlenir
Kaynak: Bleeping Computer