Operatie SignSight is een nieuwe supply chain-aanval gericht tegen Vietnamese particuliere bedrijven. SignSight-aanvallers zijn slim, gericht op het insluiten van malware in een officiële softwaretoolkit van de overheid.
SignSight-aanvallen gericht tegen de certificeringsautoriteit van de Vietnamese overheid
De aanval die door Eset-onderzoekers werd ontdekt en benoemd, was gericht tegen de Vietnamese Government Certification Authority (VGCA), verantwoordelijk voor het ondertekenen van digitale certificaten. "De Vietnamese overheidscertificeringsautoriteit bevestigde dat ze op de hoogte waren van de aanval vóór onze melding en dat ze de gebruikers op de hoogte brachten die de getrojaniseerde software hadden gedownload.,”Aldus de onderzoekers.
Wat is de VGCA-organisatie?
De VGCA geeft digitale certificaten af aan burgers, bedrijven, en overheidsinstanties die dossiers bij de overheid willen indienen. Niet alleen geeft het bureau dergelijke certificaten af, maar het biedt ook kant-en-klare clienttoepassingen die genoemde partijen op hun computers zouden kunnen installeren om het ondertekeningsproces van documenten te automatiseren.
Blijkbaar, de bedreigingsactoren achter de SignSight-aanval hackten de website van de VGCA en gleden malware in de vorm van twee Windows-bestanden naar twee van de client-apps van het bureau. De bestanden hadden een achterdeur in hen, bekend als PhantomNet en Smanager. Ook al was de achterdeur niet verfijnd, het opende de deur naar gevaarlijkere malware-plug-ins.
In termen van zijn mogelijkheden, de PhantomNet-achterdeur `` kan de proxyconfiguratie van het slachtoffer achterhalen en gebruiken om contact op te nemen met de commandovoering (C&C) server. Dit toont aan dat de doelen waarschijnlijk in een bedrijfsnetwerk werken. "
Bovendien, “PhantomNet gebruikt het HTTPS-protocol om te communiceren met zijn hardgecodeerde C&C-servers: vgca.homeunix[.]org en office365.blogdns[.]met. Om een man-in-the-middle-aanval te voorkomen, PhantomNet implementeert het vastzetten van certificaten, met behulp van functies uit de SSPI-bibliotheek. Het certificaat wordt gedownload tijdens de eerste verbinding met de C&C-server en vervolgens opgeslagen in het Windows-certificaatarchief,”Aldus het rapport.
Meestal, het is een uitdaging voor onderzoekers om aanvallen in de toeleveringsketen te detecteren, aangezien de kwaadaardige code verborgen is tussen legitieme code.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: