Οι ερευνητές ασφαλείας ανακάλυψαν μια κακόβουλη καμπάνια που βασίζεται σε ένα έγκυρο πιστοποιητικό υπογραφής κώδικα για να συγκαλύψει τον κακόβουλο κώδικα ως νόμιμα executables.
Ένα από τα payloads που οι ερευνητές ονόμασαν Blister, λειτουργεί ως loader για άλλο malware και φαίνεται να είναι μια νέα απειλή που έχει χαμηλό ποσοστό ανίχνευσης.
- Ο απειλητικός παράγοντας πίσω από το Blister βασίζεται σε πολλαπλές τεχνικές για να κρατήσει τις επιθέσεις του κρυμμένες, ενώ η χρήση πιστοποιητικών υπογραφής κώδικα είναι μόνο ένα από τα κόλπα τους.
Όποιος βρίσκεται πίσω από το malware Blister εκτελεί καμπάνιες για τουλάχιστον τρεις μήνες – από τις 15 Σεπτεμβρίου – ανακάλυψαν ερευνητές ασφαλείας από την εταιρεία αναζήτησης Elastic.
Ωστόσο, ο απειλητικός παράγοντας χρησιμοποίησε ένα πιστοποιητικό υπογραφής κώδικα που ισχύει από τις 23 Αυγούστου. Εκδόθηκε από τον πάροχο ψηφιακής ταυτότητας Sectigo για μια εταιρεία που ονομάζεται Blist LLC με μια διεύθυνση email από έναν Ρώσο πάροχο Mail.Ru.
Η χρήση έγκυρων πιστοποιητικών για την υπογραφή malware είναι ένα παλιό κόλπο που έμαθαν οι απειλητικοί φορείς πριν από χρόνια. Τότε, έκλεβαν πιστοποιητικά από νόμιμες εταιρείες. Αυτές τις μέρες, οι απειλητικοί φορείς ζητούν ένα έγκυρο πιστοποιητικό χρησιμοποιώντας τα στοιχεία μιας εταιρείας που παραβίασαν.
Σε μια ανάρτηση που έγινε αυτή την εβδομάδα, η Elastic λέει ότι ανέφεραν υπεύθυνα το πιστοποιητικό κατάχρησης στη Sectigo, ώστε να μπορεί να ανακληθεί.
Οι ερευνητές λένε ότι ο απειλητικός παράγοντας βασίστηκε σε πολλαπλές τεχνικές για να κρατήσει την επίθεση απαρατήρητη. Μια μέθοδος ήταν η ενσωμάτωση κακόβουλου λογισμικού Blister σε μια νόμιμη βιβλιοθήκη (π.χ. colorui.dll).
Στη συνέχεια, το malware εκτελείται με αυξημένα δικαιώματα μέσω της εντολής rundll32. Η υπογραφή με έγκυρο πιστοποιητικό και η ανάπτυξη με δικαιώματα διαχειριστή κάνει το Blister να ξεφεύγει από τα antivirus.
Στο επόμενο βήμα, το Blister αποκωδικοποιεί από τον κώδικα resource section bootstrapping που είναι «πολύ ασαφής», λένε οι ερευνητές της Elastic. Για δέκα λεπτά, ο κώδικας παραμένει αδρανής, πιθανότατα σε μια προσπάθεια αποφυγής της ανάλυσης sandbox.
Έπειτα ξεκινά τη δράση αποκρυπτογραφώντας τα ενσωματωμένα payloads που παρέχουν απομακρυσμένη πρόσβαση και επιτρέπουν την πλευρική κίνηση: Cobalt Strike και BitRAT – και τα δύο στο παρελθόν έχουν χρησιμοποιηθεί από πολλές ομάδες hacking.
Το malware επιτυγχάνει persistence με ένα αντίγραφο στο φάκελο ProgramData και ένα άλλο που παρουσιάζεται ως rundll32.exe. Προστίθεται επίσης στο startup location, επομένως εκκινείται σε κάθε boot, ως παιδί του explorer.exe.
Οι ερευνητές της Elastic βρήκαν υπογεγραμμένες και ανυπόγραφες εκδόσεις του Blister loader οι οποίες έχουν χαμηλό ποσοστό ανίχνευσης.
Οι χάκερ συνδύασαν έγκυρα πιστοποιητικά υπογραφής κώδικα, malware ενσωματωμένο σε νόμιμες βιβλιοθήκες και εκτέλεση payloads στη μνήμη, αυξάνοντας τις πιθανότητες τους για μια πετυχημένη επίθεση.
Η Elastic δημιούργησε έναν κανόνα Yara για τον προσδιορισμό της δραστηριότητας Blister και παρέχει δείκτες παραβίασης για να βοηθήσει τους οργανισμούς να αμυνθούν από την απειλή.