Otoritas Sertifikat Mongolia Diretas untuk Mendistribusikan Perangkat Lunak CA Backdoored

Otoritas Sertifikat Mongolia

Dalam contoh lain dari serangan rantai pasokan perangkat lunak, peretas tak dikenal melanggar situs web MonPass, salah satu otoritas sertifikat utama Mongolia, untuk mem-backdoor perangkat lunak penginstalnya dengan binari Cobalt Strike.

Klien trojan tersedia untuk diunduh antara 8 Februari 2021, dan 3 Maret 2021, kata perusahaan perangkat lunak keamanan siber Ceko Avast dalam sebuah melaporkan diterbitkan Kamis.

Bacaan Lainnya

Selain itu, server web publik yang dihosting oleh MonPass berpotensi disusupi sebanyak delapan kali secara terpisah, dengan para peneliti mengungkap delapan cangkang web dan pintu belakang yang berbeda pada server yang disusupi.

Penyelidikan Avast atas insiden tersebut dimulai setelah menemukan penginstal pintu belakang dan implan pada salah satu sistem pelanggannya.

“Pemasang berbahaya adalah unsigned [Portable Executable] file,” kata para peneliti. “Ini dimulai dengan mengunduh versi penginstal yang sah dari situs web resmi MonPass. Versi sah ini dijatuhkan ke folder ‘C:UsersPublic’ dan dijalankan di bawah proses baru. Ini menjamin bahwa penginstal berperilaku seperti yang diharapkan, yang berarti bahwa pengguna biasa tidak mungkin melihat sesuatu yang mencurigakan.”

Modus operandinya juga terkenal karena penggunaan steganografi untuk mentransfer shellcode ke mesin korban, dengan penginstal mengunduh file gambar bitmap (.BMP) dari server jauh untuk mengekstrak dan menyebarkan muatan suar Cobalt Strike terenkripsi.

MonPass diberitahu tentang insiden tersebut pada 22 April, setelah itu otoritas sertifikat mengambil langkah-langkah untuk mengatasi server mereka yang disusupi dan memberi tahu mereka yang mengunduh klien pintu belakang.

Insiden ini menandai kedua kalinya perangkat lunak yang disediakan oleh otoritas sertifikat telah disusupi untuk menginfeksi target dengan pintu belakang berbahaya. Pada bulan Desember 2020, ESET mengungkapkan kampanye yang disebut “Operation SignSight,” di mana perangkat tanda tangan digital dari Otoritas Sertifikasi Pemerintah Vietnam (VGCA) dirusak untuk memasukkan spyware yang mampu mengumpulkan informasi sistem dan menginstal malware tambahan.

Pengembangan juga datang sebagai Proofpoint, awal pekan ini, mengungkapkan penyalahgunaan alat pengujian penetrasi Cobalt Strike dalam kampanye aktor ancaman telah mencapai puncaknya, melonjak 161% dari tahun ke tahun dari 2019 hingga 2020.

“Cobalt Strike menjadi semakin populer di kalangan pelaku ancaman sebagai muatan akses awal, bukan hanya alat tahap kedua yang digunakan pelaku ancaman setelah akses tercapai, dengan pelaku ancaman kriminal menjadi bagian terbesar dari kampanye Cobalt Strike pada tahun 2020,” peneliti Proofpoint kata.

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait