Operation SignSight es un nuevo ataque a la cadena de suministro dirigido contra empresas privadas vietnamitas. Los atacantes de SignSight son inteligentes, con el objetivo de incrustar malware dentro de un kit de herramientas de software oficial del gobierno.
Ataques SignSight dirigidos contra la Autoridad de Certificación del Gobierno de Vietnam
El ataque descubierto y nombrado por los investigadores de Eset fue contra la Autoridad de Certificación del Gobierno de Vietnam. (VGCA), responsable de firmar certificados digitales. “La Autoridad de Certificación del Gobierno de Vietnam confirmó que estaban al tanto del ataque antes de nuestra notificación y que notificaron a los usuarios que descargaron el software troyanizado,”Dijeron los investigadores.
¿Qué es la organización VGCA??
La VGCA emite certificados digitales a los ciudadanos, compañías, y entidades gubernamentales que buscan enviar archivos al gobierno. La agencia no solo emite tales certificados, pero también proporciona aplicaciones cliente listas para usar que dichas partes podrían instalar en sus computadoras para automatizar el proceso de firma de documentos.
Al parecer,, los actores de amenazas detrás del ataque SignSight piratearon el sitio web de la VGCA y deslizaron malware en forma de dos archivos de Windows en dos de las aplicaciones cliente de la agencia. Los archivos tenían un puerta trasera en ellos, conocido como PhantomNet y Smanager. Aunque la puerta trasera no era sofisticada, abrió la puerta a complementos de malware más peligrosos.
En cuanto a sus capacidades, la puerta trasera de PhantomNet "puede recuperar la configuración del proxy de la víctima y usarla para llegar al comando y control (C&C) servidor. Esto muestra que es probable que los objetivos funcionen en una red corporativa ".
Adicionalmente, "PhantomNet utiliza el protocolo HTTPS para comunicarse con su C&Servidores C: vgca.homeunix[.]org y office365.blogdns[.]con. Para prevenir un ataque de hombre en el medio, PhantomNet implementa la fijación de certificados, usando funciones de la biblioteca SSPI. El certificado se descarga durante la primera conexión con el C&C servidor y luego se almacena en el almacén de certificados de Windows,”Según el informe.
En la mayoría de los casos, es un desafío para los investigadores detectar ataques a la cadena de suministro, ya que el código malicioso se oculta entre el código legítimo.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: