安全研究人员发现了一场持续七年的复杂恶意软件攻击活动,在该活动中,AppSuite-PDF和PDF编辑器应用程序背后的威胁 actors 系统性地滥用代码签名证书,以使其恶意软件合法化。
这些被归为恶意软件家族BaoLoader的攻击者,已利用至少26个通过欺诈性商业注册获得的代码签名证书,主要针对那些寻求PDF编辑工具和生产力应用程序的用户。
这场活动展示了一种精心策划的证书颁发机构操纵方法,威胁行为者在包括巴拿马、马来西亚和美国在内的多个司法管辖区建立了合法企业。
这些实体充当幌子,从包括SSL.com、GlobalSign、DigiCert和Sectigo在内的主要证书颁发机构获取代码签名证书。
这种恶意软件以多种伪装形式传播,包括AppSuite-PDF、PDF编辑器、ManualFinder、PDFTools、PDFProSuite和OneStart,它们常伪装成潜在有害程序(PUPs),同时隐藏着后门功能。
与典型的证书滥用场景相比,此次攻击活动的不同之处在于,攻击者会持续从不同的证书颁发机构获取多个相同公司名称的证书。
Expel的研究人员在分析CertCentral.org数据库时发现了这种不寻常的行为,他们指出,在1500多个有证书被滥用记录的组织中,这些攻击者的证书地理分布模式和模拟合法性的系统性方法都独具特点。
威胁行为者的方法不仅限于简单的证书获取,还包括复杂的分发机制。
文件已以众多欺骗性名称上传至VirusTotal等平台,其中单个可执行文件伪装成“ZoomSetup”“WinRarSetup”“MinecraftSetup”以及各种与PDF相关的应用程序。
这种多名策略表明,其刻意尝试通过迎合不同用户的兴趣和需求来最大化感染途径。
证书颁发机构利用与企业注册模式
BaoLoader背后的技术基础设施显示出在证书获取策略方面的精心规划。
这些演员成立了多家公司,其命名都带有媒体相关的风格,包括GLINT SOFTWARE SDN. BHD.、ECHO INFINI SDN. BHD.、Summit Nexus Holdings LLC、Apollo Technologies Inc.和Caerus Media LLC。
每个实体都注册了合法的商业文件,这使得相关人员能够通过最初的证书机构验证流程。
对证书元数据的分析显示,对于相同的公司名称,多个证书颁发机构的商业序列号是一致的。
例如,Eclipse Media Inc.的证书由GlobalSign、SSL.com、Sectigo和DigiCert颁发,所有证书都包含匹配的商业注册标识符。
这种方法使参与者在个别证书面临吊销时能够保持运营连续性,在不同证书颁发机构之间无缝切换,同时保持相同的组织身份。
该恶意软件的持久化机制包括PowerShell执行,其设计目的是加载Web Companion组件,执行绕过执行策略并从加密文件加载程序集的命令。
该活动从简单的广告软件分发演变为后门部署,这表明威胁行为者的能力出现了令人担忧的升级,也展示了证书滥用如何能为针对生产力软件用户的恶意活动提供更长的运营寿命。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
