Хакеры используют сертификат VPN-провайдера для подписания малвари

AmneziaWG

Support81

Original poster
Administrator
Сообщения
518
Реакции
170
Посетить сайт
ИБ-специалисты сообщают, что китайская хак-группа Bronze Starlight атакует индустрию азартных игр в странах Юго-Восточной Азии с помощью малвари, подписанной с использованием действительного сертификата VPN-провайдера Ivacy.


Использование действительного сертификата позволяет хакерам обходить защиту, избегать подозрений и системных предупреждений, а также смешиваться с легитимным ПО и его трафиком.



Кибератаки Bronze Starlight начались еще в марте 2023 года, и вероятно, являются продолжением хакерской операции

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, которую в конце 2022 года обнаружила компания ESET.


Как теперь рассказывают аналитики

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, атаки группировки начинаются с доставки исполняемых файлов .NET (agentupdate_plugins.exe и AdventureQuest.exe) в целевую систему. Скорее всего, это происходит через троянизированные чат-приложения, которые извлекают защищенные паролем ZIP-архивы из бакетов Alibaba.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

Содержимое архивов
Образец малвари AdventureQuest.exe был впервые замечен ИБ-исследователем

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

в мае текущего года, когда тот обратил внимание, что сертификат для подписи кода малвари был таким же, как и у официальных установщиков Ivacy VPN.


Вышеупомянутые архивы содержат нарочито уязвимые версии ПО, включая Adobe Creative Cloud, Microsoft Edge и McAfee VirusScan, которые подвержены атакам типа DLL hijacking. Группа Bronze Starlight использует эти уязвимые приложения для развертывания маяков Cobalt Strike в целевых системах.


Вредоносные библиотеки DLL (libcef.dll, msedge_elf.dll и LockDown.dll) упакованы в архивы вместе с легитимными программами, и Windows отдает приоритет по выполнению им, не более безопасными версиям тех же DLL, хранящихся в C:\Windows\System32, тем самым позволяя злоумышленникам запускать вредоносный код.


SentinelLabs отмечает, что файлы .NET имеют ограничения, которые предотвращают запуск вредоносного ПО в США, Германии, Франции, России, Индии, Канаде или Великобритании, однако из-за ошибки в коде эти ограничения не работают.


Наиболее интересным аспектом этой кампании все же является использование сертификата, который принадлежит фирме PMG PTE LTD, стоящей за Ivacy VPN. Этот же сертификат используется для подписания официального

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, ссылка на который размещена

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

VPN-провайдера.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.




«Вполне вероятно, что в какой-то момент ключ подписи PMG PTE LTD был украден, это известный метод, используемый китайскими злоумышленниками для подписания вредоносного ПО, — отмечают эксперты. — VPN-провайдеры являются интересными целями для хакеров, поскольку они предоставляют злоумышленникам гарантированный доступ к конфиденциальным пользовательским данным и сообщениям».

Если сертификат был украден, исследователи беспокоятся о том, что еще злоумышленники в целом могли иметь доступ к сети VPN-провайдера. Стоит сказать, что представители PMG PTE LTD не отреагировали на заявления специалистов, поэтому неясно, как именно хакеры могли получить доступ к сертификату.


Тем временем, еще в начале июня 2023 года DigiCert

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

и признал сертификат недействительным из-за нарушения принципов «Базовых требований» (Baseline Requirements).
 
  • Like
Реакции: Рыцарь
Название темы
Автор Заголовок Раздел Ответы Дата
DOMINUS Хакеры используют NFT для скрытого майнинга и кражи кошельков Новости в сети 0
Denik Интересно Хакеры используют уязвимости в почтовом приложении iOS для доступа к криптовалютным кошелькам Новости в сети 2
Support81 Хакеры вымогают полмиллиарда у крупнейшего землевладельца России Новости в сети 1
Support81 Хакеры сами устраняют уязвимость BIG-IP: борьба за эксклюзивный доступ к зараженным системам Новости в сети 0
Support81 Хакеры переосмыслили PikaBot: вирус становится проще, но опаснее Новости в сети 0
Support81 Хакеры превращают онлайн-казино в арену для украденных миллионов Новости в сети 0
Support81 Хакеры Kinsing активно эксплуатируют Looney Tunables для кражи учётных данных Новости в сети 0
Support81 Хакеры злоупотребляют Binance Smart Chain для хранения вредоносного кода Новости в сети 0
Support81 Хакеры осваивают искусственный интеллект: новый FraudGPT идеально подходит для написания фишинговых писем Новости в сети 0
Support81 Хакеры больше не плачут: доходы от вымогательских атак в этом году резко возросли Новости в сети 1
DOMINUS Хакеры взломали базы силовиков Мексики и похитили данные Новости в сети 0
Denik Интересно Хакеры атаковали сайты ФСБ и Минюста из‑за пыток в колониях Новости в сети 1
Denik Интересно Шифровальщик REvil атаковал поставщика MSP-решений Kaseya. Хакеры потребовали 70 млн долларов Новости в сети 0
DOMINUS Хакеры атакуют пользователей криптовалют через серверы в сети Tor Новости в сети 0
E Хакеры имели доступ к электронной почте SolarWinds как минимум 9 месяцев Новости в сети 0
E Хакеры взломали ряд госорганов США с помощью еще одной уязвимости в ПО SolarWinds Новости в сети 0
ananda Интересно Хакеры взломали смартфоны 20 глав крипто-компаний Израиля Новости в сети 0
ananda Интересно Хакеры взломали криптовалютную биржу Altsbit на $285 тысяч Новости в сети 0
ananda Интересно Хакеры украли с биржи Cashaa 336 биткоинов на сумму в $3,1 млн Новости в сети 0
L Интересно Хакеры атаковали европейские суперкомпьютеры для добычи Monero Новости в сети 0
L Интересно Хакеры продают базу российских автовладельцев за 1.5 BTC Новости в сети 0
L Интересно Хакеры КНДР усилили атаки на биткоин-компании и трейдеров Новости в сети 0
L Интересно Хакеры заразили крупнейшую сеть частных клиник ЕС вирусом-вымогателем и требуют выкуп в криптовалюте Новости в сети 2
L Интересно Хакеры украли секретные данные крупнейших звёзд у крупной юридической фирмы Новости в сети 0
A Интересно Хакеры взломали серверы LineageOS Новости в сети 0
L Интересно Хакеры взломали государственный банк Коста-Рики и требуют выкуп в криптовалюте Новости в сети 0
L Интересно Хакеры атаковали больницу в США с требованием выкупа в криптовалюте Новости в сети 0
L Интересно Хакеры раздали 750 тысяч ключей жертвам майнера-шифровальщика Новости в сети 0
A Хакеры взломали более 60 рекламных серверов, чтобы распространить вирус Новости в сети 0
L Интересно Хакеры потребовали 100 BTC у властей американского города за расшифровку данных Новости в сети 0
O Хакеры Полностью «Убили» Защиту Denuvo В Компьютерных Играх. Новости в сети 2
Admin Хакеры взломали dns-сервер сервиса blackwallet и похитили $400 тыс. в криптовалюте Новости в сети 0
H Хакеры похитили средства пользователей NiceHash на $60 млн (обновлено) Новости в сети 0
Admin Хакеры опубликовали похищенные данные участников военных действий в донбассе Новости в сети 0
S Хакеры взломали одну из крупнейших бирж криптовалюты Новости в сети 0
S Хакеры из Коми осуждены за кражу более полумиллиона рублей с банковских карт Новости в сети 0
Little_Prince Хакеры угрожают стереть данные с миллионов iPhone и требуют выкуп у компании Apple Новости в сети 3
Admin Хакеры опубликовали инструменты для взлома iOS, похищенные у компании Cellebrite Новости в сети 1
Admin Хакеры грабанули российский банк на 100 млн. рублей Новости в сети 1
P Хакеры заставили банкоматы «выплевывать» наличные. Новости в сети 0
Admin Хакеры продают троян GovRAT 2.0 для атак на военные организации США Новости в сети 2
Support81 Адаптивный фишинг отключает бдительность жертв: какие приёмы используют злоумышленники Новости в сети 0
GhosTM@n Интересно Что такое Wazuh? Для чего его используют? Уязвимости и взлом 0
Admin Что такое WiFi Pineapple и как его используют для беспроводного перехвата WiFi/Wardriving/Bluejacking 4
M Официальный сертификат вакцинации от COVID-19 на ваших госуслугах Ищу работу. Предлагаю свои услуги. 2
3 Мутим сертификат на 5к,10к в Связном Раздача dedic/ssh/proxy 8

Название темы