Casa > Cyber ​​Notizie > Operazione SignSight contro l'autorità di certificazione del governo vietnamita
CYBER NEWS

Operazione SignSight contro l'autorità di certificazione del governo vietnamita

L'operazione SignSight è un nuovo attacco alla catena di approvvigionamento mirato contro società private vietnamite. Gli aggressori di SignSight sono intelligenti, con l'obiettivo di incorporare malware all'interno di un toolkit software ufficiale del governo.

Attacchi SignSight diretti contro l'autorità di certificazione del governo vietnamita

L'attacco scoperto e nominato dai ricercatori dell'Eset era contro l'Autorità di Certificazione del Governo del Vietnam (VGCA), responsabile della firma dei certificati digitali. "L'autorità di certificazione del governo vietnamita ha confermato di essere a conoscenza dell'attacco prima della nostra notifica e di aver informato gli utenti che hanno scaricato il software trojan,”I ricercatori hanno detto.




Cos'è l'organizzazione VGCA?

La VGCA rilascia certificati digitali ai cittadini, aziende, ed enti governativi che cercano di presentare file al governo. Non solo l'agenzia rilascia tali certificati, ma fornisce anche applicazioni client già pronte che dette parti potrebbero installare sui loro computer per automatizzare il processo di firma dei documenti.

Apparentemente, gli autori delle minacce dietro l'attacco SignSight hanno violato il sito Web di VGCA e hanno trasferito malware sotto forma di due file Windows in due delle app client dell'agenzia. I file avevano l'estensione porta sul retro in loro, noto come PhantomNet e Smanager. Anche se la backdoor non era sofisticata, ha aperto la porta a plugin di malware più pericolosi.

In termini di capacità, la backdoor PhantomNet "può recuperare la configurazione del proxy della vittima e utilizzarla per raggiungere il comando e il controllo (C&C) server. Ciò dimostra che è probabile che gli obiettivi funzionino in una rete aziendale ".

In aggiunta, “PhantomNet utilizza il protocollo HTTPS per comunicare con il suo C hardcoded&Server C: vgca.homeunix[.]org e office365.blogdns[.]con. Per evitare un attacco man-in-the-middle, PhantomNet implementa il blocco del certificato, utilizzando le funzioni dalla libreria SSPI. Il certificato viene scaricato durante la prima connessione con il C&C server e quindi archiviato nell'archivio certificati di Windows,”Dice il rapporto.

Nella maggior parte dei casi, per i ricercatori è difficile rilevare gli attacchi alla catena di approvvigionamento, poiché il codice dannoso è nascosto nel codice legittimo.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo