A Operação SignSight é um novo ataque à cadeia de suprimentos direcionado a empresas privadas vietnamitas. Os atacantes do SignSight são inteligentes, com o objetivo de incorporar malware em um kit de ferramentas de software oficial do governo.
Ataques SignSight dirigidos contra a Autoridade de Certificação do Governo do Vietnã
O ataque descoberto e nomeado por pesquisadores da Eset foi definido contra a Autoridade de Certificação do Governo do Vietnã (VGCA), responsável por assinar certificados digitais. “A Autoridade de Certificação do Governo do Vietnã confirmou que estava ciente do ataque antes de nossa notificação e que notificou os usuários que baixaram o software trojanizado,”Disseram os pesquisadores.
O que é a organização VGCA?
O VGCA emite certificados digitais para cidadãos, empresas, e entidades governamentais que desejam enviar arquivos ao governo. A agência não apenas emite esses certificados, mas também fornece aplicativos cliente prontos que essas partes podem instalar em seus computadores para automatizar o processo de assinatura de documentos.
Pelo visto, os atores da ameaça por trás do ataque SignSight invadiram o site do VGCA e colocaram malware na forma de dois arquivos do Windows em dois aplicativos clientes da agência. Os arquivos tinham um Porta dos fundos neles, conhecido como PhantomNet e Smanager. Mesmo que a porta dos fundos não fosse sofisticada, abriu a porta para plug-ins de malware mais perigosos.
Em termos de suas capacidades, o backdoor PhantomNet “pode recuperar a configuração de proxy da vítima e usá-la para chegar ao comando e controle (C&C) servidor. Isso mostra que os alvos provavelmente estão trabalhando em uma rede corporativa. ”
além do que, além do mais, “PhantomNet usa o protocolo HTTPS para se comunicar com seu código C&servidores C: vgca.homeunix[.]org e office365.blogdns[.]com. A fim de evitar um ataque man-in-the-middle, PhantomNet implementa pinning de certificado, usando funções da biblioteca SSPI. O certificado é baixado durante a primeira conexão com o C&Servidor C e, em seguida, armazenado no armazenamento de certificados do Windows,”Disse o relatório.
Na maioria dos casos, é um desafio para os pesquisadores detectar ataques à cadeia de suprimentos, como o código malicioso está escondido entre códigos legítimos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: