Avast опублікував результати дослідження компрометації сервера центру MonPass.
Avast опублікувала результати дослідження компрометації сервера центру сертифікації MonPass
Avast опублікувала результати дослідження компромісу сервера сертифікаційного центру MonPass, що призвело до заміни бекдора в пропонованому для установки клієнтам додатку. Аналіз показав, що інфраструктура була скомпрометована шляхом злому одного з публічних веб-серверів MonPass на базі платформи Windows. На зазначеному сервері були виявлені сліди восьми різних хаків, в результаті яких було встановлено вісім веб-шеллів і бекдорів для віддаленого доступу.
Зокрема, шкідливі зміни були внесені в офіційне клієнтське програмне забезпечення, яке поставлялося з бекдором з 8 лютого по 3 березня. Історія почалася з того, що у відповідь на скаргу клієнта Avast переконався в тому, що відбулися шкідливі зміни в установнику, що поширюються через офіційний сайт MonPass. Після повідомлення про проблему співробітники MonPass надали Avast доступ до копії образу диска скомпрометованого сервера для розслідування інциденту.
Ми виявили інсталятор, завантажений з офіційного MonPassвеб-сайту великого центру сертифікації (CA) в Монголії в Східній Азії, який був забезпечений двійковими файлами Cobalt Strike. Ми негайно повідомили MonPass 22 квітня 2021 року про наші висновки та закликали їх звернутися до свого скомпрометованого сервера та повідомити тих, хто завантажив бекдорований клієнт.
Ми підтвердили з MonPass, що вони вжили заходів для вирішення цих проблем і зараз представляють наш аналіз.
Наш аналіз, починаючи з квітня 2021 року, вказує на те, що загальнодоступний веб-сервер, розміщений у MonPass, був порушений потенційно вісім окремих разів: ми виявили вісім різних веб-оболонок і бекдорів на цьому сервері. Ми також виявили, що клієнт MonPass, доступний для завантаження з 8 лютого 2021 року до 3 березня 2021 року, був бекдорований.
Це дослідження забезпечує аналіз відповідних бекдорованих інсталяторів та інших зразків, які ми виявили, що відбуваються в дикій природі. Також під час нашого розслідування ми спостерігали за відповідними дослідженнями від NTT Ltd , тому деякі технічні деталі або IoCs можуть перетинатися.
Шкідливий інсталятор - це непідписаний PE-файл. Він починається з завантаження законної версії інсталятора з офіційного веб-сайту MonPass. Ця законна версія потрапляє до папки C:\Users\Public\ та виконується під новим процесом. Це гарантує, що установник поводиться так, як належить, а значить, звичайний користувач навряд чи помітить щось підозріле.
