Pelaku Ancaman Menargetkan Otoritas Sertifikat Mongolia dengan Cobalt Strike Binaries

  • Whatsapp
Pelaku Ancaman Menargetkan Otoritas Sertifikat Mongolia dengan Cobalt Strike Binaries

 

Bacaan Lainnya

Pelaku ancaman telah melanggar server milik MonPass, otoritas sertifikasi utama (CA) di Mongolia di Asia Timur, dan telah menutup situs web resmi perusahaan dengan binari Cobalt Strike. Insiden keamanan terungkap pada akhir Maret ketika para peneliti di Avast mengidentifikasi penginstal yang diunduh dari situs web resmi MonPass.

Pada 22 April 2021, Avast memberi tahu MonPass tentang pelanggaran keamanan dan menyarankan mereka untuk menambal server yang disusupi dan memberi tahu mereka yang mengunduh klien pintu belakang. “Analisis kami yang dimulai pada April 2021 menunjukkan bahwa server web publik yang dihosting oleh MonPass berpotensi dilanggar delapan kali secara terpisah: kami menemukan delapan webshell dan backdoor berbeda di server ini. Kami juga menemukan bahwa klien MonPass yang tersedia untuk diunduh dari 8 Februari 2021 hingga 3 Maret 2021 telah di-backdoor,” kata Avast.

Namun, para peneliti tidak dapat menghubungkan intrusi “dengan tingkat kepercayaan yang sesuai” dengan aktor ancaman tertentu. “Tetapi jelas bahwa penyerang jelas bermaksud untuk menyebarkan malware ke pengguna di Mongolia dengan mengorbankan sumber yang dapat dipercaya, yang dalam hal ini adalah CA di Mongolia,” tambah peneliti.

Penginstal berbahaya adalah file PE yang tidak ditandatangani. Itu dimulai dengan mengunduh versi penginstal yang sah dari situs web resmi MonPass. Versi sah ini dijatuhkan ke folder C:UsersPublic dan dijalankan di bawah proses baru. Ini menjamin bahwa penginstal berperilaku seperti yang diharapkan, yang berarti bahwa pengguna biasa tidak mungkin melihat sesuatu yang mencurigakan.

Tim Avast juga menemukan varian tambahan di VirusTotal selain yang ditemukan di server web MonPass yang disusupi. Selama analisis mereka terhadap klien dan varian yang disusupi, peneliti menunjukkan bahwa malware menggunakan steganografi untuk mendekripsi suar Cobalt Strike.

Pada Desember 2020, peretas yang berbasis di China menargetkan perangkat lunak Able Desktop, sebuah perusahaan keamanan yang bertanggung jawab untuk memasok perangkat lunak ke beberapa lembaga pemerintah Mongolia. Pada bulan yang sama, Avast juga menerbitkan rincian tentang kampanye spionase siber Tiongkok yang menargetkan lembaga pemerintah menggunakan email spear-phishing, di mana penyerang mencoba memasang pintu belakang dan keylogger di tempat kerja karyawan.

Hanya beberapa minggu setelah menargetkan perangkat lunak Able Desktop, penyerang China menggunakan teknik yang mirip dengan pelanggaran MonPass di situs web Otoritas Sertifikasi Pemerintah Vietnam (VGCA): ca.gov.vn. Penyerang memodifikasi dua penginstal perangkat lunak yang tersedia untuk diunduh di situs web ini dan menambahkan pintu belakang untuk membahayakan pengguna aplikasi yang sah.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *