Ažurirana verzija učitavača malicioznog softvera poznatog kao BLISTER koristi se kao dio SocGholish lanaca infekcije za distribuciju open-source okvira za komandu i kontrolu (C2) pod nazivom Mythic.
“Novo ažuriranje BLISTER uključuje funkciju ključa koja omogućava precizno ciljanje mreža žrtava i smanjuje izloženost unutar VM/sandbox okruženja”, rekli su istraživači Elastic Security Labs Salim Bitam i Daniel Stepanic u tehničkom izvještaju objavljenom krajem prošlog mjeseca.
Kompanija je BLISTER prvi put otkrila u decembru 2021. godine, djelujući kao kanal za distribuciju Cobalt Strike i BitRAT tereta na kompromitovanim sistemima.
Korištenje malicioznog softvera zajedno sa SocGholishom (aka FakeUpdates), zlonamjernim softverom za preuzimanje zasnovanom na JavaScriptu, za isporuku Mythic-a, prethodno je objelodanila Palo Alto Networks Unit 42 u julu 2023. godine.
U ovim napadima, BLISTER je ugrađen u legitimnu VLC Media Player biblioteku u pokušaju da zaobiđe sigurnosni softver i infiltrira se u okruženja žrtve.
I SocGholish i BLISTER su korišteni u tandemu kao dio nekoliko kampanja, pri čemu je potonji korišten kao loader druge faze za distribuciju Cobalt Strike i LockBit ransomwarea, što su dokazali Red Canary i Trend Micro početkom 2022. godine.
Detaljnija analiza malicioznog softvera pokazuje da se on aktivno održava, pri čemu su autori malicioznog softvera ugradili niz tehnika kako bi letjeli ispod radara i zakomplikovali analizu.
„BLISTER je učitavač koji nastavlja da ostaje ispod radara, aktivno se koristi za učitavanje raznih malicioznih programa, uključujući clipbankere, kradljivce informacija, trojance, ransomware i shellcode“, napomenuo je Elastic u aprilu 2023.
Izvor: The Hacker News
