使用代码签名证书来逃避检测的新的Spug恶意软件

网络安全研究人员披露了一场规避恶意软件活动的细节，该活动利用有效的代码签名证书潜入安全防御系统，并保持在雷达之下，目的是在受损系统上部署Cobalt Strike和BitRAT有效载荷。

该二进制文件是一种加载程序，被弹性安全公司的研究人员称为“泡罩”，在VirusTotal上，恶意软件样本的检测率可以忽略不计，甚至为零。截至撰写本文时，用于发动攻击的感染媒介以及入侵的最终目标仍不得而知。

这些攻击的一个值得注意的方面是，它们利用了Sectigo颁发的有效代码签名证书。该恶意软件已被观察到与签署的证书追溯到2021年9月15日。Elastic表示，它与该公司进行了接触，以确保被滥用的证书被吊销。

研究人员乔·德西莫内（Joe Desimone）和萨米尔·布塞登（Samir Bousseaden）说：“对具有有效代码签名证书的可执行文件的审查程度通常低于未签名的可执行文件。”。“它们的使用使攻击者能够在更长的时间内保持在雷达监视之下并逃避检测。”

泡罩伪装成一个名为“colorui.dll”的合法库，并通过名为“dxpo8umrzrr1w6gm.exe”的滴管传递执行后，加载程序被设计为睡眠10分钟，可能是为了逃避沙盒分析，只是为了通过建立持久性并解密嵌入的恶意软件负载（如Cobalt Strike或BitRAT）来跟进。

研究人员指出：“一旦解密，嵌入的有效负载将加载到当前进程中，或注入新生成的WerFault.exe[Windows错误报告]进程中。”。与活动相关的其他折衷指标（IOC）可在此处访问。