Хакеры используют сертификат VPN-провайдера для подписания малвари

RutoR

Support81

Original poster
Administrator
Сообщения
1 075
Реакции
207
Посетить сайт
ИБ-специалисты сообщают, что китайская хак-группа Bronze Starlight атакует индустрию азартных игр в странах Юго-Восточной Азии с помощью малвари, подписанной с использованием действительного сертификата VPN-провайдера Ivacy.


Использование действительного сертификата позволяет хакерам обходить защиту, избегать подозрений и системных предупреждений, а также смешиваться с легитимным ПО и его трафиком.



Кибератаки Bronze Starlight начались еще в марте 2023 года, и вероятно, являются продолжением хакерской операции

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, которую в конце 2022 года обнаружила компания ESET.


Как теперь рассказывают аналитики

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, атаки группировки начинаются с доставки исполняемых файлов .NET (agentupdate_plugins.exe и AdventureQuest.exe) в целевую систему. Скорее всего, это происходит через троянизированные чат-приложения, которые извлекают защищенные паролем ZIP-архивы из бакетов Alibaba.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

Содержимое архивов
Образец малвари AdventureQuest.exe был впервые замечен ИБ-исследователем

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

в мае текущего года, когда тот обратил внимание, что сертификат для подписи кода малвари был таким же, как и у официальных установщиков Ivacy VPN.


Вышеупомянутые архивы содержат нарочито уязвимые версии ПО, включая Adobe Creative Cloud, Microsoft Edge и McAfee VirusScan, которые подвержены атакам типа DLL hijacking. Группа Bronze Starlight использует эти уязвимые приложения для развертывания маяков Cobalt Strike в целевых системах.


Вредоносные библиотеки DLL (libcef.dll, msedge_elf.dll и LockDown.dll) упакованы в архивы вместе с легитимными программами, и Windows отдает приоритет по выполнению им, не более безопасными версиям тех же DLL, хранящихся в C:\Windows\System32, тем самым позволяя злоумышленникам запускать вредоносный код.


SentinelLabs отмечает, что файлы .NET имеют ограничения, которые предотвращают запуск вредоносного ПО в США, Германии, Франции, России, Индии, Канаде или Великобритании, однако из-за ошибки в коде эти ограничения не работают.


Наиболее интересным аспектом этой кампании все же является использование сертификата, который принадлежит фирме PMG PTE LTD, стоящей за Ivacy VPN. Этот же сертификат используется для подписания официального

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, ссылка на который размещена

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

VPN-провайдера.



Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.




«Вполне вероятно, что в какой-то момент ключ подписи PMG PTE LTD был украден, это известный метод, используемый китайскими злоумышленниками для подписания вредоносного ПО, — отмечают эксперты. — VPN-провайдеры являются интересными целями для хакеров, поскольку они предоставляют злоумышленникам гарантированный доступ к конфиденциальным пользовательским данным и сообщениям».

Если сертификат был украден, исследователи беспокоятся о том, что еще злоумышленники в целом могли иметь доступ к сети VPN-провайдера. Стоит сказать, что представители PMG PTE LTD не отреагировали на заявления специалистов, поэтому неясно, как именно хакеры могли получить доступ к сертификату.


Тем временем, еще в начале июня 2023 года DigiCert

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

и признал сертификат недействительным из-за нарушения принципов «Базовых требований» (Baseline Requirements).
 
  • Like
Реакции: Рыцарь
Название темы
Автор Заголовок Раздел Ответы Дата
DOMINUS Хакеры используют NFT для скрытого майнинга и кражи кошельков Новости в сети 0
Denik Интересно Хакеры используют уязвимости в почтовом приложении iOS для доступа к криптовалютным кошелькам Новости в сети 2
Support81 $787 тысяч исчезли за секунды: как хакеры обошли защиту Orange Finance Новости в сети 0
Support81 Аналитики IBM: хакеры записывают домашние видео через взломанные маршрутизаторы Новости в сети 0
Support81 The Mask: хакеры превратили Google в оружие против мировой дипломатии Новости в сети 0
Support81 Хакеры сорвали джекпот: $500 000 навсегда покинули стейкинг Vestrans Новости в сети 0
Support81 $16 миллионов похищено через LinkedIn: как хакеры обманули Rain Новости в сети 0
Support81 Zero-Day атака в Windows: хакеры могут украсть пароль при простом просмотре файла Новости в сети 0
Support81 Rockstar 2FA: как хакеры обходят многофакторную защиту в два клика Новости в сети 0
Support81 SOS в Wirral: хакеры парализовали работу трёх жизненно важных больниц Новости в сети 0
Support81 10 дней на выкуп: хакеры выдвинули ультиматум мексиканскому правительству Новости в сети 0
Support81 Хакеры требуют $15 000 000: как 1win борется за сохранность данных 100 млн клиентов? Новости в сети 0
Support81 Загадочный трафик и ложные блокировки: зачем хакеры атакуют узлы Tor? Новости в сети 0
Support81 Защита рухнула: хакеры выявили лазейки в процессорах AMD и Intel Новости в сети 0
Support81 Хакеры усиливают натиск на высшие учебные заведения Новости в сети 0
Support81 Взломавшие Casio хакеры наконец вышли из тени Новости в сети 0
Support81 Star Health против Telegram: Хакеры, боты и миллионы украденных историй болезней Новости в сети 0
Support81 MoneyGram: хакеры заморозили сбережения 150 млн человек Новости в сети 0
Support81 Вирус по клику: хакеры взламывают Windows через CAPTCHA Новости в сети 0
Support81 Android.Vo1d: хакеры проникают в дома через ТВ-приставки Новости в сети 0
Support81 Tropic Trooper: хакеры теперь сеют хаос на Ближнем Востоке Новости в сети 0
Support81 Неожиданный враг: Северокорейские хакеры проникают в Кремль Новости в сети 0
Support81 Шантаж и обвинения: белые хакеры борются с Kraken за $3 млн Новости в сети 0
Support81 Cyclops: Иранские хакеры готовят почву для масштабных кибератак Новости в сети 0
Support81 Tusk: русскоязычные хакеры охотятся за криптовалютой по всему миру Новости в сети 0
Support81 «Airbnb-хоппинг»: как разоблаченные хакеры уходят от погони Новости в сети 0
Support81 Роскошное авто или троян? Хакеры из APT28 играют на ваших желаниях Новости в сети 0
Support81 Неудаляемый скиммер: хакеры обнаружили ахиллесову пяту Magento Новости в сети 0
Support81 Кара за Сирию: хакеры парализуют критическую инфраструктуру Турции Новости в сети 0
Support81 CloudSorcerer: хакеры шпионят за российскими чиновниками через Microsoft Graph, Yandex Cloud и Dropbox Новости в сети 0
Support81 Snowblind: хакеры злоупотребляют «слепым пятном» в защитной системе Android Новости в сети 0
Support81 Shedding Zmiy - не просто хакеры: 2 года профессиональной охоты на российские секреты Новости в сети 0
Support81 Китайские хакеры прячутся в «слепой зоне»: ORB как новый уровень маскировки Новости в сети 0
Support81 Хакеры взломали ИИ: LLMjacking позволяет продавать доступ к мозгам машин Новости в сети 0
Support81 Хакеры вымогают полмиллиарда у крупнейшего землевладельца России Новости в сети 1
Support81 Ботнет в каждом доме: хакеры снова порабощают роутеры TP-Link для DDoS-атак Новости в сети 0
Support81 Румынские хакеры-невидимки уже 10 лет терроризируют европейские компании Новости в сети 0
Support81 Саратовский кинодел, ФСБ и хакеры: чем закончилась громкая история о торговле американскими картами Новости в сети 1
Support81 Фантомные хакеры с украинским следом: PhantomCore атакует Россию Новости в сети 1
Support81 Хакеры сами устраняют уязвимость BIG-IP: борьба за эксклюзивный доступ к зараженным системам Новости в сети 0
Support81 Хакеры переосмыслили PikaBot: вирус становится проще, но опаснее Новости в сети 0
Support81 Китайские хакеры атакуют НАТО: взломана сеть армии Нидерландов Новости в сети 0
Support81 Никакого фишинга: итальянские хакеры заражают местные организации весьма старомодным способом Новости в сети 0
Support81 Conti и Royal получили мощного союзника: хакеры 3AM вступают в игру, но кто они на самом деле? Новости в сети 0
Support81 Как хакеры взломали мир: 14 самых громких взломов 2023 года Новости в сети 1
Support81 NKAbuse: хакеры адаптировали децентрализованный протокол NKN для создания стелс-ботнета Новости в сети 0
Support81 Азиатские хакеры ведут ожесточенные кибератаки на российские системы Новости в сети 0
Support81 Хакеры превращают онлайн-казино в арену для украденных миллионов Новости в сети 0
Support81 Хакеры Kinsing активно эксплуатируют Looney Tunables для кражи учётных данных Новости в сети 0
Support81 Хакеры злоупотребляют Binance Smart Chain для хранения вредоносного кода Новости в сети 0

Название темы

Русскоязычный Даркнет Форум