BLISTER: Nova verzija zlonamjernog softvera
Prema izvještaju koji su objavili istraživači Elastic Security Labs krajem prošlog mjeseca, ovo novo ažuriranje BLISTER zlonamjernog softvera uključuje ključnu karakteristiku koja omogućava precizno ciljanje mreža žrtava i smanjuje izloženost u virtuelnim mašinama (VM) i sandbox okruženjima.
BLISTER: Nova verzija zlonamjernog softvera; Source: Bing Image Creator
Ažurirana verzija učitavača zlonamjernog softvera poznatog kao BLISTER se koristi kao dio SocGholish lanaca infekcije za distribuciju okvira za komandu i kontrolu (C2) otvorenog kôda pod nazivom Mythic. Elastic Security Labs je prvobitno otkrio BLISTER u decembru 2021. godine, gdje je služio kao kanal za distribuciju Cobalt Strike i BitRAT tereta na kompromitovanim sistemima.
BLISTER zlonamjenri softver
Korištenje BLISTER zlonamjernog softvera zajedno sa SocGholish (takođe poznatim kao FakeUpdates), zlonamjernim softverom za preuzimanje zasnovano na JavaScript-u, za isporuku okvira za komandu i kontrolu otvorenog kôda Mythic, prethodno je otkrio Palo Alto Networks Unit 42 u julu 2023. godine.
U napadima, BLISTER je sakriven u legitimnoj VLC Media Player biblioteci, što je manevar usmjeren na zaobilaženje bezbjednosnog softvera i ulazak u okruženja žrtve. Kada se pažljivo prati, postaje očigledno da se zlonamjerni softver aktivno održava, pri čemu autori neprestano uključuju niz taktika kako bi izbjegli otkrivanje i zakomplikovali analizu. SocGholish i BLISTER su zajedno angažovani u različitim kampanjama, pri čemu je posljednji služio kao program za učitavanje druge faze za distribuciju Cobalt Strike i LockBit ransomware zlonamjernog softvera, kako su izvijestili Red Canary i Trend Micro početkom 2022. godine.
BLISTER je učitavač koji i dalje ostaje ispod radara, aktivno se koristi za učitavanje raznovrsnog zlonamjernog softvera, uključujući kradljivce informacija, trojance, ransomvare i komandna okruženja. Dio BLISTER zlonamjernog softvera koji se stalno poboljšava podrazumijeva različite metode ubrizgavanja, više tehnika za izbjegavanje odbrane korištenjem funkcija protiv otklanjanja grešaka/analize i veliko oslanjanje na Windows izvorne API funkcionalnosti.
Nova verzija
Sigurnosni istraživači su otkrili novu funkcionalnost koja je ranije bila odsutna u porodici BLISTER, što ukazuje na stalni razvoj, gdje autori zlonamjernog softvera nastavljaju da koriste karakterističnu tehniku ugrađivanja zlonamjernog kôda u inače legitimne aplikacije. Ovaj pristup se na prvi pogled čini uspješnim, s obzirom na niske stope otkrivanja kod mnogih proizvođača antivirusnog softvera kao što se može vidjeti na VirusTotal testovima. Značajna količina benignog kôda i upotreba enkripcije za zaštitu zlonamjernog kôda su vjerovatno dva faktora koja utiču na otkrivanje. Na kraju, analiziranjem uzoraka ovog zlonamjernog softver, postaje jasno da zlonamjerni akteri pažljivo prate dešavanja u antivirusnoj industriji.
Jedna od promjena sprovedena od posljednje analizirane verzije je usvajanje drugačijeg algoritma heširanja koji se koristi u jezgru i u djelu za učitavanje BLISTER zlonamjernog softvera. Dok je prethodna verzija koristila jednostavnu logiku za pomjeranje bajtova, ova nova verzija uključuje tvrdo kodirani proces popunjavanja baze podataka početnim skupom podataka sa XOR (Bulova logička operacija koja se široko koristi u kriptografiji kao i u generisanju bitova parnosti za provjeru grešaka i toleranciju grešaka) i operacijama množenja. Istraživači spekulišu da promjena pristupa heširanju pomaže da se izbjegnu sigurnosni proizvodi koji se oslanjaju na YARA potpise.
Slično svojim prethodnicima, zlonamjerni softver uključuje funkciju protiv otklanjanja grešaka zasnovanu na vremenu. Međutim, za razliku od prethodnih verzija u kojima je tajmer bio tvrdo kodiran, ažurirana verzija uvodi novo polje u konfiguraciju. Ovo polje omogućava prilagođavanje tajmera za isključivanje, sa podrazumijevanom vrednoću od 10 minuta. Ovaj podrazumijevani interval ostaje nepromijenjen u odnosu na prethodne verzije BLISTER zlonamjernog softvera.
U ovoj najnovijoj verziji, BLISTER uvodi značajnu funkcionalnost: otključava sve instrumente procesa koji su u toku, taktiku dizajniranu da zaobiđe mehanizme za otkrivanje sistemskih poziva korisnika na kojima se zasnivaju određena EDR rješenja.
Zaključak
BLISTER je jedan mali dio globalnog ekosistema zlonamjernih aktera, koji pruža finansijski motivisane prijetnje za dobijanje pristupa okruženju žrtve i izbjegavanje detekcije od strane bezbjednosnih senzora. Korisnici bi trebalo da razmotri ove nove razvoje i procijene efikasnost detekcije BLISTER zlonamjernog softvera.
Zaštita
Rano otkrivanje i zadržavanje, kao i protivmjere su od vitalnog značaja za otkrivanje destruktivnijih napada koja kompromituju sisteme, kradu podatke ili pokreću ransomware napad. Nove tehnike zlonamjernog softvera će se uvijek pojaviti dok zlonamjerni akteri nastoje da se infiltriraju u sisteme poslovne organizacije.
Poslovne organizacije se mogu zaštititi od takvih prijetnji koristeći samo višestruka rješenja za otkrivanje i reagovanje, kao što je sigurnosno rješenje za prošireno otkrivanje i odgovor (eng. extended detection and response – XDR) koje automatski korelira informacije u različitim sigurnosnim slojevima, uključujući elektronsku poštu, krajnje uređaje, servere, radna opterećenja u oblaku i mreže, da bi spriječio napade putem automatizovanih zaštitnih mjera, istovremeno obezbeđujući da značajniji incidenti ne izbjegnu obavještenja.
