BLISTERマルウェアはRATを危険にさらされたネットワークにもたらします
BLISTERマルウェアは新しいペイロードであり、感染したデバイスに他のマルウェアを配信するために使用されています。この脅威は、Windowsのいくつかの基本的なセキュリティ対策を回避できるようです。これは、開発者が取得した偽のコード署名証明書を使用して実現されます。これは決して新しい手法ではありません。コード署名証明書のハイジャックは、マルウェア開発者の間で何年にもわたって人気があります。
サイバーセキュリティの研究者は、BLISTERマルウェアの作成者が合法的な企業のセキュリティを侵害して証明書を取得し、その資格情報を使用してデジタルIDプロバイダーであるSectigoに連絡した可能性があると考えています。 BLISTERマルウェアが使用する証明書は、8月の第23回で発行されたことが表示され、それがBlist LLC、ロシアベースの電子メールプロバイダを使用して、会社に属しています。ただし、これは必ずしもBLISTERマルウェアの作成者の国籍を確認するものではありません。
BLISTERマルウェアが起動されると、攻撃を初期化するために使用する非常に難読化されたコードのデコードが開始されます。ただし、デコードタスクが完了すると、マルウェアは次のステップを10分遅らせます。これは、サンドボックス分析を回避するための簡単な手段です。
実行されると、BLISTERマルウェアは、そのファイルを%ProgramData%フォルダーにドロップすることによって、およびスタートアップディレクトリに新しいエントリを作成することによって、永続性を獲得します。 BLISTERマルウェアは、リモートアクセストロイの木馬(RAT)や、CobaltStrikeビーコンやBitRATなどのユーティリティと組み合わせて使用されているようです。犯罪者の最終目標はまだ明確ではありませんが、彼らは横方向に広がることによってネットワーク全体を制御しようとしているようです。システムとネットワークは、堅牢なセキュリティ対策を採用し、すべてのシステムオペレータが安全なWebブラウジングの最良の方法に精通していることを確認することにより、BLISTERマルウェアから安全になります。