Avast опубликовал результаты исследования компрометации сервера удостоверяющего центра MonPass
Avast опубликовал результаты исследования компрометации сервера удостоверяющего центра MonPass
Avast опубликовал результаты исследования компрометации сервера удостоверяющего центра MonPass, которая привела к подстановке бэкдора в приложение, предлагаемое для установки клиентам. Анализ показал, что инфраструктура была скомпрометирована через взлом одного из публичных web-серверов MonPass на базе платформы Windows. На указанном сервере были выявлены следы восьми разных взломов, в результате которых было установлено восемь webshell и бэкдоров для удалённого доступа.
В том числе вредоносные изменения были внесены и в официальное клиентское ПО, которое поставлялось с бэкдором с 8 февраля по 3 марта. История началась с того, что в ответ на жалобу клиента компания Avast убедилась в наличии вредоносных изменений в распространяемом через официальный сайт MonPass инсталляторе. После уведомления о проблеме, сотрудники MonPass предоставили Avast доступ к копии дискового образа взломанного сервера для разбора инцидента.
We discovered an installer downloaded from the official website of MonPass, a major certification authority (CA) in Mongolia in East Asia that was backdoored with Cobalt Strike binaries. We immediately notified MonPass on 22 April 2021 of our findings and encouraged them to address their compromised server and notify those who downloaded the backdoored client.
We have confirmed with MonPass that they have taken steps to address these issues and are now presenting our analysis.
Our analysis beginning in April 2021 indicates that a public web server hosted by MonPass was breached potentially eight separate times: we found eight different webshells and backdoors on this server. We also found that the MonPass client available for download from 8 February 2021 until 3 March 2021 was backdoored.
This research provides analysis of relevant backdoored installers and other samples that we found occurring in the wild. Also during our investigation we observed relevant research from NTT Ltd so some technical details or IoCs may overlap.
The malicious installer is an unsigned PE file. It starts by downloading the legitimate version of the installer from the MonPass official website. This legitimate version is dropped to the C:\Users\Public\ folder and executed under a new process. This guarantees that the installer behaves as expected, meaning that a regular user is unlikely to notice anything suspicious.
