Operation SignSight ist ein neuer Supply-Chain-Angriff gegen vietnamesische Privatunternehmen. SignSight-Angreifer sind schlau, Ziel ist es, Malware in ein offizielles Software-Toolkit der Regierung einzubetten.
SignSight-Angriffe gegen die Zertifizierungsstelle der vietnamesischen Regierung
Der von Eset-Forschern entdeckte und benannte Angriff wurde gegen die Zertifizierungsstelle der vietnamesischen Regierung gerichtet (VGCA), verantwortlich für die Unterzeichnung digitaler Zertifikate. „Die Zertifizierungsstelle der vietnamesischen Regierung hat bestätigt, dass sie vor unserer Benachrichtigung über den Angriff informiert waren und die Benutzer benachrichtigt haben, die die trojanisierte Software heruntergeladen haben,“Sagten die Forscher.
Was ist die VGCA-Organisation??
Die VGCA stellt den Bürgern digitale Zertifikate aus, Firmen, und Regierungsstellen, die Akten bei der Regierung einreichen möchten. Die Agentur stellt solche Zertifikate nicht nur aus, Es bietet jedoch auch vorgefertigte Clientanwendungen, die die Parteien auf ihren Computern installieren können, um den Prozess der Dokumentensignatur zu automatisieren.
Offenbar, Die Bedrohungsakteure hinter dem SignSight-Angriff haben sich in die VGCA-Website gehackt und Malware in Form von zwei Windows-Dateien in zwei Client-Apps der Agentur integriert. Die Dateien hatten eine hintertür in ihnen, bekannt als PhantomNet und Smanager. Auch wenn die Hintertür keine raffinierte war, Es öffnete die Tür zu gefährlicheren Malware-Plugins.
In Bezug auf seine Fähigkeiten, Die PhantomNet-Hintertür kann die Proxy-Konfiguration des Opfers abrufen und damit den Befehl und die Steuerung erreichen (C&C) Server. Dies zeigt, dass die Ziele wahrscheinlich in einem Unternehmensnetzwerk funktionieren. “
Außerdem, „PhantomNet verwendet das HTTPS-Protokoll, um mit seinem fest codierten C zu kommunizieren&C-Server: vgca.homeunix[.]org und office365.blogdns[.]mit. Um einen Man-in-the-Middle-Angriff zu verhindern, PhantomNet implementiert das Anheften von Zertifikaten, Verwenden von Funktionen aus der SSPI-Bibliothek. Das Zertifikat wird bei der ersten Verbindung mit dem C heruntergeladen&C-Server und dann im Windows-Zertifikatspeicher gespeichert,“So der Bericht.
Meistens, Für Forscher ist es eine Herausforderung, Angriffe in der Lieferkette zu erkennen, da der Schadcode unter legitimem Code verborgen ist.