Operation SignSight er et nyt angreb i forsyningskæden rettet mod vietnamesiske private virksomheder. SignSight-angribere er kloge, der sigter mod at integrere malware i et officielt regeringssoftwareværktøjssæt.
SignSight-angreb rettet mod den vietnamesiske regerings certificeringsmyndighed
Det angreb, der blev opdaget og navngivet af Eset-forskere, blev rettet mod den vietnamesiske regerings certificeringsmyndighed (VGCA), ansvarlig for underskrivelse af digitale certifikater. ”Den vietnamesiske regerings certificeringsmyndighed bekræftede, at de var opmærksomme på angrebet før vores anmeldelse, og at de underrettede de brugere, der downloadede den trojaniserede software,”Siger forskerne.
Hvad er VGCA-organisationen?
VGCA udsteder digitale certifikater til borgerne, virksomheder, og regeringsenheder, der ønsker at indsende filer til regeringen. Ikke alene udsteder agenturet sådanne certifikater, men det giver også færdige klientapplikationer, som parterne kunne installere på deres computere for at automatisere processen med dokumentsignering.
Tilsyneladende, trusselaktørerne bag SignSight-angrebet hacket ind på VGCAs websted og smuttede malware i form af to Windows-filer ind i to af agenturets klientapps. Filerne havde en bagdør i dem, kendt som PhantomNet og Smanager. Selvom bagdøren ikke var sofistikeret, det åbnede døren for mere farlige malware-plugins.
Med hensyn til dets evner, PhantomNet bagdøren “kan hente offerets proxy-konfiguration og bruge den til at nå ud til kommandoen og styringen (C&C) server. Dette viser, at målene sandsynligvis fungerer i et virksomhedsnetværk. ”
Desuden, “PhantomNet bruger HTTPS-protokollen til at kommunikere med sin hardcodede C&C-servere: vgca.homeunix[.]org og office365.blogdns[.]med. For at forhindre et mand-i-midten-angreb, PhantomNet implementerer certifikatfastgørelse, ved hjælp af funktioner fra SSPI-biblioteket. Certifikatet downloades under den første forbindelse til C&C-server og derefter gemt i Windows-certifikatlager,”Hedder det i rapporten.
I de fleste tilfælde, det er udfordrende for forskere at opdage supply chain-angreb, da den ondsindede kode er skjult blandt legitim kode.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: