安全研究人员发现了一个恶意攻击活动，该攻击活动借助有效的代码签名证书将恶意代码伪装成合法的可执行文件。
研究人员称之为Blister的有效载荷，充当其他恶意软件的加载程序，它似乎是一种新的威胁，具有较低的检测率。
Blister背后的攻击者一直依赖多种技术来监视他们的攻击，使用代码签名证书只是他们的伎俩之一。

签名、盖章、交付
Elastic搜索公司的安全研究人员发现，自9月15日以来，无论是谁幕后操纵着Blister恶意软件，都至少已经开展了三个月的活动。
攻击者使用了8月23日起有效的代码签名证书。它是由数字身份提供商Sectigo为一家名为Blist LLC的公司发行的，其电子邮件地址来自一家俄罗斯提供商Mail.Ru。

使用有效证书对恶意软件进行签名是攻击者多年前就会的老把戏。当时，他们常常从合法公司窃取证书。如今，攻击者要求使用他们所感染的公司或前线业务的详细信息获得有效的证书。
在本周的一篇博客文章中，Elastic表示，他们负责地向Sectigo报告了被滥用的证书，以便Sectigo可以撤销该证书。
研究人员说，攻击者依靠多种技术使攻击不被发现。一种方法是将Blister恶意软件嵌入合法库（例如colorui.dll）。
然后通过rundll32命令，用提升后的权限执行恶意软件。使用有效的证书进行签名并使用管理员权限进行部署会使安全解决方案失效。
Elastic研究人员说，在下一步中，Blister将从资源部分解码“严重模糊”的引导代码。十分钟里，代码处于休眠状态，可能是为了躲避沙箱分析。
然后，它通过解密提供远程访问并允许横向移动的嵌入式有效载荷Cobalt Strike和BitRAT开始行动，这两种载荷过去曾被多个攻击者使用。
该恶意软件通过ProgramData文件夹中的一个副本和另一个伪造的rundll32.exe实现持久性。它还被添加到启动位置，因此它在每次启动时都会作为explorer.exe的子项启动。
Elastic的研究人员发现了Blister加载器的签名版本和未签名版本，在VirusTotal扫描服务上，这两个版本的防病毒引擎的检测率都很低。

虽然这些初始感染媒介的攻击的目标尚不清楚，但通过结合有效的代码签名证书、嵌入合法库中的恶意软件以及在内存中执行的有效负载，攻击者成功攻击的机会增加了。
Elastic创建了一个Yara规则，用于识别Blister活动，并提供IOC，以帮助组织抵御威胁。