Güvenlik araştırmacıları, kötü amaçlı kodu meşru yürütülebilir dosyalar olarak gizlemek için geçerli bir kod imzalama sertifikasına dayanan kötü amaçlı bir kampanyayı ortaya çıkardı.
Araştırmacıların Blister adını verdiği yüklerden biri, diğer kötü amaçlı yazılımlar için yükleyici görevi görüyor ve düşük algılama oranına sahip yeni bir tehdit gibi görünüyor.
Blister’ın arkasındaki tehdit aktörü, saldırılarını radar altında tutmak için birden fazla tekniğe güveniyor, kod imzalama sertifikalarının kullanımı hilelerinden sadece biri.
İmzalı mühürlü teslim
Elastic arama şirketinden güvenlik araştırmacıları, Blister kötü amaçlı yazılımının arkasında kim varsa, en az 15 Eylül’den bu yana en az üç aydır kampanya yürütüyor.
Tehdit aktörü, 23 Ağustos’tan itibaren geçerli olan bir kod imzalama sertifikası kullandı. Dijital kimlik sağlayıcısı Sectigo tarafından, Rus sağlayıcı Mail.Ru’dan bir e-posta adresiyle Blist LLC adlı bir şirket için yayınlandı.
Kötü amaçlı yazılımları imzalamak için geçerli sertifikalar kullanmak, tehdit aktörlerinin yıllar önce öğrendiği eski bir numaradır. O zamanlar meşru şirketlerden sertifika çalarlardı. Bu günlerde tehdit aktörleri, tehlikeye attıkları bir firmanın veya bir paravan işin ayrıntılarını kullanarak geçerli bir sertifika talep ediyor.
Bu haftaki bir blog yazısında Elastic, suistimal edilen sertifikayı sorumlu bir şekilde Sectigo’ya bildirdiklerini ve böylece sertifikanın iptal edilebileceğini söyledi.
Araştırmacılar söyle tehdit aktörünün saldırıyı tespit edilmeden tutmak için birden fazla tekniğe dayandığını. Bir yöntem, Blister kötü amaçlı yazılımını meşru bir kitaplığa (örn. colorui.dll) gömmekti.
Kötü amaçlı yazılım daha sonra rundll32 komutu aracılığıyla yükseltilmiş ayrıcalıklarla yürütülür. Geçerli bir sertifikayla imzalanması ve yönetici ayrıcalıklarıyla dağıtılması, Blister’ın güvenlik çözümlerini geride bırakmasına neden olur.
Elastik araştırmacılar, bir sonraki adımda, Blister’ın “ağır şekilde karıştırılmış” kaynak bölümündeki önyükleme kodunu çözdüğünü söylüyor. On dakika boyunca kod, muhtemelen sanal alan analizinden kaçma girişiminde bulunur.
Ardından, uzaktan erişim sağlayan ve yanal harekete izin veren gömülü yüklerin şifresini çözerek harekete geçer: Cobalt Strike ve BitRAT – her ikisi de geçmişte birden fazla tehdit aktörü tarafından kullanılmıştır.
Kötü amaçlı yazılım, ProgramData klasöründeki bir kopya ve rundll32.exe olarak gösterilen bir kopya ile kalıcılık sağlar. Ayrıca başlangıç konumuna eklenir, bu nedenle her önyüklemede explorer.exe’nin bir alt öğesi olarak başlatılır.
Elastic’in araştırmacıları, Blister yükleyicinin imzalı ve imzasız sürümlerini buldu ve her ikisi de VirusTotal tarama hizmetinde antivirüs motorları ile düşük algılama oranının keyfini çıkardı.
İlk enfeksiyon vektörüne yönelik bu saldırıların amacı belirsizliğini koruyor olsa da, geçerli kod imzalama sertifikalarını, meşru kitaplıklara yerleştirilmiş kötü amaçlı yazılımları ve bellekteki yüklerin yürütülmesini birleştirerek, tehdit aktörleri başarılı bir saldırı şanslarını artırdı.
Elastik bir yarattı Blister’ı tanımlamak için Yara kuralı etkinlik ve kuruluşların tehdide karşı savunmalarına yardımcı olmak için uzlaşma göstergeleri sağlar.