L'opération SignSight est une nouvelle attaque de la chaîne d'approvisionnement ciblée contre des entreprises privées vietnamiennes. Les attaquants SignSight sont intelligents, visant à intégrer des logiciels malveillants dans une boîte à outils officielle du gouvernement.
Attaques SignSight dirigées contre l'autorité de certification du gouvernement du Vietnam
L'attaque découverte et nommée par les chercheurs d'Eset a été dirigée contre l'autorité de certification du gouvernement du Vietnam (VGCA), responsable de la signature des certificats numériques. «L'autorité de certification du gouvernement vietnamien a confirmé qu'elle était au courant de l'attaque avant notre notification et qu'elle a informé les utilisateurs qui ont téléchargé le logiciel trojan,» Les chercheurs.
Qu'est-ce que l'organisation VGCA?
La VGCA délivre des certificats numériques aux citoyens, entreprises, et les entités gouvernementales souhaitant soumettre des dossiers au gouvernement. Non seulement l'agence délivre de tels certificats, mais il fournit également des applications client prêtes à l'emploi que lesdites parties pourraient installer sur leurs ordinateurs pour automatiser le processus de signature de documents.
Apparemment, les acteurs de la menace derrière l'attaque SignSight ont piraté le site Web de la VGCA et ont glissé des logiciels malveillants sous la forme de deux fichiers Windows dans deux des applications clientes de l'agence. Les fichiers avaient un détourné dans les, connu sous le nom de PhantomNet et Smanager. Même si la porte dérobée n’était pas sophistiquée, il a ouvert la porte à des plugins de logiciels malveillants plus dangereux.
En termes de capacités, la porte dérobée PhantomNet «peut récupérer la configuration du proxy de la victime et l’utiliser pour contacter la commande et le contrôle (C&C) serveur. Cela montre que les cibles sont susceptibles de travailler dans un réseau d'entreprise. »
En outre, «PhantomNet utilise le protocole HTTPS pour communiquer avec son code C codé en dur&serveurs de C: vgca.homeunix[.]org et office365.blogdns[.]avec. Afin d'éviter une attaque de type `` man-in-the-middle '', PhantomNet implémente l'épinglage de certificats, utilisation des fonctions de la bibliothèque SSPI. Le certificat est téléchargé lors de la première connexion avec le C&Serveur C puis stocké dans le magasin de certificats Windows,» Le rapport.
Dans la plupart des cas, il est difficile pour les chercheurs de détecter les attaques de la chaîne d'approvisionnement, car le code malveillant est dissimulé dans du code légitime.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: