Mongolische Zertifizierungsstelle wurde gehackt, um gefälschte CA-Software zu verbreiten

  • In einem weiteren Fall eines Angriffs auf die Software-Lieferkette drangen unbekannte Hacker in die Website von MonPass, einer der wichtigsten Zertifizierungsstellen der Mongolei, ein, um mit Cobalt-Strike-Binärdateien eine Hintertür in die Installationssoftware einzubauen.

    Der trojanisierte Client stand zwischen dem 8. Februar 2021 und dem 3. März 2021 zum Download bereit, so das tschechische Cybersicherheitssoftware-Unternehmen Avast in einem am Donnerstag veröffentlichten Bericht.

    Darüber hinaus wurde ein öffentlicher Webserver, der von MonPass gehostet wurde, möglicherweise sogar acht Mal infiltriert, wobei die Forscher acht verschiedene Web-Shells und Backdoors auf dem kompromittierten Server aufdeckten.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    Die Untersuchung des Vorfalls durch Avast begann, nachdem das Unternehmen den manipulierten Installer und das Implantat auf dem System eines seiner Kunden entdeckt hatte.

    “Der bösartige Installer ist ein unsignierter [Portable Executable] Datei”, so die Forscher. “Er beginnt mit dem Herunterladen der legitimen Version des Installationsprogramms von der offiziellen MonPass-Website. Diese legitime Version wird in den Ordner ‘C:UsersPublic” abgelegt und unter einem neuen Prozess ausgeführt. Dies garantiert, dass sich das Installationsprogramm wie erwartet verhält, was bedeutet, dass ein normaler Benutzer wahrscheinlich nichts Verdächtiges bemerken wird.”

    [Blocked Image: https://thehackernews.com/images/-0LRb5EuuMfw/YN8D0ncsAeI/AAAAAAAADEc/l9H95H1XBjgylTLWsqiLstJcBzWrnCLcQCLcBGAsYHQ/s728-e1000/hacker.jpg]

    Der Modus Operandi ist auch bemerkenswert für die Verwendung von Steganografie, um den Shellcode auf den Opfercomputer zu übertragen, wobei der Installer eine Bitmap-Image-Datei (.BMP) von einem Remote-Server herunterlädt, um eine verschlüsselte Cobalt Strike-Beacon-Nutzlast zu extrahieren und zu verteilen.

    MonPass wurde am 22. April über den Vorfall informiert, woraufhin die Zertifizierungsstelle Schritte unternahm, um den kompromittierten Server zu beheben und diejenigen zu benachrichtigen, die den manipulierten Client heruntergeladen hatten.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    Der Vorfall markiert das zweite Mal, dass Software, die von einer Zertifizierungsstelle bereitgestellt wurde, kompromittiert wurde, um Ziele mit bösartigen Backdoors zu infizieren. Im Dezember 2020 deckte ESET eine Kampagne mit dem Namen “Operation SignSight” auf, bei der ein digitales Signatur-Toolkit der Vietnam Government Certification Authority (VGCA) manipuliert wurde, um Spyware einzuschleusen, die in der Lage ist, Systeminformationen zu sammeln und zusätzliche Malware zu installieren.

    [Blocked Image: https://thehackernews.com/images/-_ISo0pRAJY4/YN8DFbddbNI/AAAAAAAADEU/WZufypAcSw4L00_h_9-SF5o_ZLVOdxeJACLcBGAsYHQ/s728-e1000/software.jpg]

    Die Entwicklung kommt auch, da Proofpoint Anfang dieser Woche enthüllte, dass der Missbrauch des Penetrationstest-Tools Cobalt Strike in Kampagnen von Bedrohungsakteuren durch das Dach geschossen ist und von 2019 bis 2020 im Vergleich zum Vorjahr um 161 % gestiegen ist.

    “Cobalt Strike wird unter den Bedrohungsakteuren immer beliebter als anfängliche Zugangsnutzlast und nicht nur als Werkzeug der zweiten Stufe, das die Bedrohungsakteure verwenden, sobald sie Zugang erlangt haben, wobei kriminelle Bedrohungsakteure den Großteil der zugeschriebenen Cobalt Strike-Kampagnen im Jahr 2020 ausmachen”, so die Forscher von Proofpoint.

    Sie fanden diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com