{"id":5388,"date":"2023-09-10T20:24:17","date_gmt":"2023-09-10T18:24:17","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=5388"},"modified":"2023-09-10T20:24:17","modified_gmt":"2023-09-10T18:24:17","slug":"blister-nova-verzija-zlonamjernog-softvera","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/09\/10\/blister-nova-verzija-zlonamjernog-softvera\/","title":{"rendered":"BLISTER: Nova verzija zlonamjernog softvera"},"content":{"rendered":"

Prema izvje\u0161taju<\/a> koji su objavili istra\u017eiva\u010di Elastic Security Labs<\/em> krajem pro\u0161log mjeseca, ovo novo a\u017euriranje BLISTER<\/em> zlonamjernog softvera<\/a> uklju\u010duje klju\u010dnu karakteristiku koja omogu\u0107ava precizno ciljanje mre\u017ea \u017ertava i smanjuje izlo\u017eenost u virtuelnim ma\u0161inama (VM<\/em>) i sandbox<\/em> okru\u017eenjima.<\/span><\/p>\n

\"BLISTER\"

BLISTER: Nova verzija zlonamjernog softvera; Source: Bing Image Creator<\/p><\/div>\n

A\u017eurirana verzija u\u010ditava\u010da zlonamjernog softvera poznatog kao BLISTER<\/em> se koristi kao dio SocGholish<\/em> lanaca infekcije za distribuciju okvira za komandu i kontrolu (C2<\/em>) otvorenog k\u00f4da pod nazivom Mythic<\/em>. Elastic Security Labs<\/em> je prvobitno otkrio BLISTER<\/em> u decembru 2021. godine, gdje je slu\u017eio kao kanal za distribuciju Cobalt<\/em> Strike<\/em> i BitRAT<\/em> tereta<\/a> na kompromitovanim sistemima.<\/span><\/p>\n

 <\/p>\n

BLISTER <\/em>zlonamjenri softver<\/strong><\/span><\/h2>\n

Kori\u0161tenje BLISTER<\/em> zlonamjernog softvera zajedno sa SocGholish<\/em>\u00a0 (tako\u0111e poznatim kao FakeUpdates<\/em>), zlonamjernim softverom za preuzimanje zasnovano na JavaScript<\/em>-u, za isporuku okvira za komandu i kontrolu otvorenog k\u00f4da Mythic<\/em>, prethodno je otkrio Palo Alto Networks Unit 42<\/em> u julu 2023. godine.<\/span><\/p>\n

U\u00a0 napadima, BLISTER<\/em> je sakriven u legitimnoj VLC Media Player<\/em> biblioteci, \u0161to je manevar usmjeren na zaobila\u017eenje bezbjednosnog softvera i ulazak u okru\u017eenja \u017ertve. Kada se pa\u017eljivo prati, postaje o\u010digledno da se zlonamjerni softver aktivno odr\u017eava, pri \u010demu autori neprestano uklju\u010duju niz taktika kako bi izbjegli otkrivanje i zakomplikovali analizu. SocGholish<\/em> i BLISTER<\/em> su zajedno anga\u017eovani u razli\u010ditim kampanjama, pri \u010demu je posljednji slu\u017eio kao program za u\u010ditavanje druge faze za distribuciju Cobalt<\/em> Strike<\/em> i LockBit<\/em> ransomware<\/em> zlonamjernog softvera, kako su izvijestili Red Canary<\/em> i Trend Micro<\/em> po\u010detkom 2022. godine.<\/span><\/p>\n

BLISTER<\/em> je u\u010ditava\u010d koji i dalje ostaje ispod radara, aktivno se koristi za u\u010ditavanje raznovrsnog zlonamjernog softvera, uklju\u010duju\u0107i kradljivce informacija, trojance<\/a>, ransomvare<\/em> i komandna okru\u017eenja. Dio BLISTER<\/em> zlonamjernog softvera koji se stalno pobolj\u0161ava podrazumijeva razli\u010dite metode ubrizgavanja, vi\u0161e tehnika za izbjegavanje odbrane kori\u0161tenjem funkcija protiv otklanjanja gre\u0161aka\/analize i veliko oslanjanje na Windows<\/em> izvorne API<\/em> funkcionalnosti.<\/span><\/p>\n

 <\/p>\n

Nova verzija<\/strong><\/span><\/h3>\n

Sigurnosni istra\u017eiva\u010di su otkrili novu funkcionalnost koja je ranije bila odsutna u porodici BLISTER<\/em>, \u0161to ukazuje na stalni razvoj, gdje autori zlonamjernog softvera nastavljaju da koriste karakteristi\u010dnu tehniku ugra\u0111ivanja zlonamjernog k\u00f4da u ina\u010de legitimne aplikacije. Ovaj pristup se na prvi pogled \u010dini uspje\u0161nim, s obzirom na niske stope otkrivanja kod mnogih proizvo\u0111a\u010da antivirusnog softvera<\/a> kao \u0161to se mo\u017ee vidjeti na VirusTotal<\/em> testovima. Zna\u010dajna koli\u010dina benignog k\u00f4da i upotreba enkripcije<\/a> za za\u0161titu zlonamjernog k\u00f4da su vjerovatno dva faktora koja uti\u010du na otkrivanje. Na kraju, analiziranjem uzoraka ovog zlonamjernog softver, postaje jasno da zlonamjerni akteri pa\u017eljivo prate de\u0161avanja u antivirusnoj industriji.<\/span><\/p>\n

Jedna od promjena sprovedena od posljednje analizirane verzije je usvajanje druga\u010dijeg algoritma he\u0161iranja koji se koristi u jezgru i u djelu za u\u010ditavanje BLISTER<\/em> zlonamjernog softvera. Dok je prethodna verzija koristila jednostavnu logiku za pomjeranje bajtova, ova nova verzija uklju\u010duje tvrdo kodirani proces popunjavanja baze podataka po\u010detnim skupom podataka sa XOR<\/em> (Bulova logi\u010dka operacija koja se \u0161iroko koristi u kriptografiji kao i u generisanju bitova parnosti za provjeru gre\u0161aka i toleranciju gre\u0161aka) i operacijama mno\u017eenja. Istra\u017eiva\u010di spekuli\u0161u da promjena pristupa he\u0161iranju poma\u017ee da se izbjegnu sigurnosni proizvodi koji se oslanjaju na YARA<\/em> potpise.<\/span><\/p>\n

Sli\u010dno svojim prethodnicima, zlonamjerni softver uklju\u010duje funkciju protiv otklanjanja gre\u0161aka zasnovanu na vremenu. Me\u0111utim, za razliku od prethodnih verzija u kojima je tajmer bio tvrdo kodiran, a\u017eurirana verzija uvodi novo polje u konfiguraciju. Ovo polje omogu\u0107ava prilago\u0111avanje tajmera za isklju\u010divanje, sa podrazumijevanom vredno\u0107u od 10 minuta. Ovaj podrazumijevani interval ostaje nepromijenjen u odnosu na prethodne verzije BLISTER<\/em> zlonamjernog softvera.<\/span><\/p>\n

U ovoj najnovijoj verziji, BLISTER<\/em> uvodi zna\u010dajnu funkcionalnost: otklju\u010dava sve instrumente procesa koji su u toku, taktiku dizajniranu da zaobi\u0111e mehanizme za otkrivanje sistemskih poziva korisnika na kojima se zasnivaju odre\u0111ena EDR<\/em> rje\u0161enja.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/span><\/strong><\/h4>\n

BLISTER<\/em> je jedan mali dio globalnog ekosistema zlonamjernih aktera, koji pru\u017ea finansijski motivisane prijetnje za dobijanje pristupa okru\u017eenju \u017ertve i izbjegavanje detekcije od strane bezbjednosnih senzora. Korisnici bi trebalo da razmotri ove nove razvoje i procijene efikasnost detekcije BLISTER<\/em> zlonamjernog softvera.<\/span><\/p>\n

 <\/p>\n

Za\u0161tita<\/strong><\/span><\/h5>\n

Rano otkrivanje i zadr\u017eavanje, kao i protivmjere su od vitalnog zna\u010daja za otkrivanje destruktivnijih napada koja kompromituju sisteme, kradu podatke ili pokre\u0107u ransomware<\/em> napad. Nove tehnike zlonamjernog softvera \u0107e se uvijek pojaviti dok zlonamjerni akteri nastoje da se infiltriraju u sisteme poslovne organizacije.<\/span><\/p>\n

Poslovne organizacije se mogu za\u0161tititi od takvih prijetnji koriste\u0107i samo vi\u0161estruka rje\u0161enja za otkrivanje i reagovanje, kao \u0161to je sigurnosno rje\u0161enje za pro\u0161ireno otkrivanje i odgovor (eng. extended detection and response \u2013 XDR<\/em>) koje automatski korelira informacije u razli\u010ditim sigurnosnim slojevima, uklju\u010duju\u0107i elektronsku po\u0161tu, krajnje ure\u0111aje, servere, radna optere\u0107enja u oblaku i mre\u017ee, da bi sprije\u010dio napade putem automatizovanih za\u0161titnih mjera, istovremeno obezbe\u0111uju\u0107i da zna\u010dajniji incidenti ne izbjegnu obavje\u0161tenja.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Prema izvje\u0161taju koji su objavili istra\u017eiva\u010di Elastic Security Labs krajem pro\u0161log mjeseca, ovo novo a\u017euriranje BLISTER zlonamjernog softvera uklju\u010duje klju\u010dnu karakteristiku koja omogu\u0107ava precizno ciljanje mre\u017ea \u017ertava i smanjuje izlo\u017eenost u virtuelnim ma\u0161inama (VM)...<\/p>","protected":false},"author":1,"featured_media":5389,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[532,529,156,93,531,530],"class_list":["post-5388","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-bitrat","tag-blister","tag-cobalt-strike","tag-malware","tag-mythic","tag-socgholish"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5388","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=5388"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/5388\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/5389"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=5388"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=5388"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=5388"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}