BLISTER 惡意軟件將 RAT 帶入受損網絡
BLISTER 惡意軟件是一種新的有效載荷,用於將其他惡意軟件傳送到它感染的設備。該威脅似乎能夠繞過 Windows 中的一些基本安全措施。它通過使用開發人員設法獲得的偽造代碼簽名證書來實現這一點。無論如何,這並不是一項新技術——劫持代碼簽名證書多年來一直在惡意軟件開發人員中流行。
網絡安全研究人員認為,BLISTER 惡意軟件的創建者可能通過損害合法公司的安全性來獲得證書,然後使用他們的憑據聯繫數字身份提供商 Sectigo。看來,證書水泡眼惡意軟件使用已在23日的月發行的,它屬於Blist LLC,使用的是基於俄羅斯的電子郵件提供商的公司。但是,這並不一定能確認 BLISTER 惡意軟件的創建者的國籍。
當 BLISTER 惡意軟件啟動時,它將開始解碼用於初始化攻擊的高度混淆的代碼。但是,在解碼任務完成後,惡意軟件會將下一步延遲 10 分鐘——這是一種避免沙盒分析的簡單措施。
一旦運行,BLISTER 惡意軟件通過將其文件拖放到 %ProgramData% 文件夾以及在啟動目錄中創建一個新條目來獲得持久性。 BLISTER 惡意軟件似乎與遠程訪問木馬 (RAT) 以及 Cobalt Strike 信標和 BitRAT 等實用程序結合使用。犯罪分子的最終目標尚不清楚,但他們似乎試圖通過橫向傳播來控制整個網絡。通過採用強大的安全措施以及確保所有系統操作員熟悉最佳安全 Web 瀏覽實踐,系統和網絡可以免受 BLISTER 惡意軟件的侵害。