BLISTER 恶意软件将 RAT 带入受损网络
BLISTER 恶意软件是一种新的有效载荷,用于将其他恶意软件传送到它感染的设备。该威胁似乎能够绕过 Windows 中的一些基本安全措施。它通过使用开发人员设法获得的伪造代码签名证书来实现这一点。无论如何,这并不是一项新技术——劫持代码签名证书多年来一直在恶意软件开发人员中流行。
网络安全研究人员认为,BLISTER 恶意软件的创建者可能通过损害合法公司的安全性来获得证书,然后使用他们的凭据联系数字身份提供商 Sectigo。看来,证书水泡眼恶意软件使用已在23日的月发行的,它属于Blist LLC,使用的是基于俄罗斯的电子邮件提供商的公司。但是,这并不一定能确认 BLISTER 恶意软件的创建者的国籍。
当 BLISTER 恶意软件启动时,它将开始解码用于初始化攻击的高度混淆的代码。但是,在解码任务完成后,恶意软件会将下一步延迟 10 分钟——这是一种避免沙盒分析的简单措施。
一旦运行,BLISTER 恶意软件通过将其文件拖放到 %ProgramData% 文件夹以及在启动目录中创建一个新条目来获得持久性。 BLISTER 恶意软件似乎与远程访问木马 (RAT) 以及 Cobalt Strike 信标和 BitRAT 等实用程序结合使用。犯罪分子的最终目标尚不清楚,但他们似乎试图通过横向传播来控制整个网络。通过采用强大的安全措施以及确保所有系统操作员熟悉最佳安全 Web 浏览实践,系统和网络可以免受 BLISTER 恶意软件的侵害。