top of page
Forfatters billedeThomas Pedersen

Denne VPN udnyttes til at sprede malware

I en nylig opdagelse har cybersikkerhedsforskere ved SentinelLabs afsløret en cyberspionagekampagne, der udnytter Ivacy VPNs certifikat til at sprede malware.


Ivacy, VPN, Malware, SentinelLabs, Sikkerhedsrapport, Cyberspionage, IT-kriminalitet, Cyberangreb, IT-sikkerhed

Denne malware kampagne er blevet tilskrevet den IT-kriminelle gruppe Bronze Starlight, en statssponsoreret APT, der er tidligere er blevet tilskrevet Kina. De har især rettet deres angreb mod spilvirksomheder i Sydøstasien.


Trojaniserede chatapplikationer


Angriberne distribuerede to .NET-eksekverbare filer, agentupdate_plugins.exe og AdventureQuest.exe, sandsynligvis gennem trojaniserede chatapplikationer. Deres ultimative mål var at implementere et Cobalt Strike-beacon, et alsidigt værktøj, der bruges af både etiske sikkerhedsprofessionelle og cyberkriminelle til netværks- og systemsikkerhedsvurderinger.


Samme kodesigneringscertifikat


Angriberne brugte smart det samme kodesigneringscertifikat, som Ivacy VPN's installationsprogram brugte til .NET-eksekverbare filer. Denne taktik gjorde det muligt for dem at omgå cybersikkerhedsforanstaltninger på det målrettede slutpunkt og effektivt skjule indgående og udgående trafik genereret af malwaren.


Desuden afslørede forskerne, at de eksekverbare filer med vilje var designet til at være ikke-funktionelle i specifikke lande, såsom USA, Tyskland, Frankrig, Rusland, Indien, Canada og Storbritannien, hvilket sandsynligvis ville unddrage sig opdagelse. Denne geofencing-funktion viste sig imidlertid at være utilstrækkeligt implementeret.


Adgang til følsomme brugerdata


SentinelLabs foreslog, at signeringsnøglen til PMG PTE LTD, som blev brugt til kodesignering, kan være blevet kompromitteret - en taktik, der almindeligvis anvendes af kinesiske trusselsaktører for at lette malwaresignering. VPN-udbydere er primære mål for trusselsaktører, der søger adgang til følsomme brugerdata og kommunikation.


Ivacy VPN har endnu ikke udgivet en erklæring om hændelsen, hvilket gør det udfordrende at fastslå, hvordan hackerne erhvervede certifikaterne. Ikke desto mindre er certifikaterne blevet ugyldiggjort af DigiCert for at overtræde etablerede "baseline-krav".

Comments


bottom of page