オペレーションSignSightは、ベトナムの民間企業を標的とした新しいサプライチェーン攻撃です. SignSight攻撃者は賢い, 政府の公式ソフトウェアツールキット内にマルウェアを埋め込むことを目的.
ベトナム政府認証局を狙ったSignSight攻撃
Esetの研究者によって発見され、名前が付けられた攻撃は、ベトナム政府認証局に対して設定されました (VGCA), デジタル証明書への署名を担当. 「ベトナム政府認証局は、通知の前に攻撃を認識しており、トロイの木馬化されたソフトウェアをダウンロードしたユーザーに通知したことを確認しました。,」研究者は言った.
VGCA組織とは?
VGCAは市民にデジタル証明書を発行します, 企業, および政府にファイルを提出しようとしている政府機関. 代理店はそのような証明書を発行するだけではありません, しかし、それはまた、当事者が文書署名のプロセスを自動化するために彼らのコンピュータにインストールすることができる既製のクライアントアプリケーションを提供します.
どうやら, SignSight攻撃の背後にいる攻撃者は、VGCAのWebサイトにハッキングし、2つのWindowsファイルの形式でマルウェアを代理店の2つのクライアントアプリに滑り込ませました。. ファイルには バックドア それらの中で, PhantomNetおよびSmanagerとして知られています. バックドアは洗練されたものではありませんでしたが, より危険なマルウェアプラグインへの扉を開きました.
その能力の観点から, PhantomNetバックドアは、「被害者のプロキシ構成を取得し、それを使用してコマンドアンドコントロールに連絡することができます。 (C&C) サーバ. これは、ターゲットが企業ネットワークで機能している可能性が高いことを示しています。」
加えて, 「PhantomNetはHTTPSプロトコルを使用して、ハードコードされたCと通信します。&Cサーバー: vgca.homeunix[.]orgおよびoffice365.blogdns[.]com. 中間者攻撃を防ぐため, PhantomNetは証明書ピンニングを実装します, SSPIライブラリの関数を使用する. 証明書は、Cとの最初の接続時にダウンロードされます&Cサーバーで、Windows証明書ストアに保存されます,」レポートは言った.
ほとんどの場合, 研究者がサプライチェーン攻撃を検出することは困難です, 悪意のあるコードが正当なコードの中に隠されているため.