Un acteur de menace inconnu a compromis les serveurs de l’autorité de certification mongole (CA) MonPass et a abusé du site Web de l’organisation pour la distribution de logiciels malveillants, selon les chercheurs en sécurité d’Avast.

Une autorité de certification majeure en Asie de l’Est, MonPass semble avoir été piratée il y a au moins six mois, les attaquants retournant environ huit fois sur un serveur Web public compromis.

Selon Avast, les attaquants ont détourné des installateurs distribués via le site Web de l’organisation avec la balise Cobalt Strike. Même le client officiel MonPass a été compromis, les binaires infectés ayant été distribués entre le 8 février et le 3 mars 2021.

Les chercheurs en sécurité ont identifié huit coques Web et portes dérobées différentes sur le serveur Web public compromis. La société a refusé d’attribuer les attaques à un acteur de menace connu, mais a déclaré que certains des détails techniques et des IOC observés chevauchaient ceux inclus par les chercheurs de NTT Security Threat Intelligence dans un rapport sur le groupe Winnti lié à la Chine.

Le programme d’installation malveillant a été conçu pour télécharger le programme d’installation légitime de MonPass à partir du site Web officiel et l’exécuter, afin d’éviter d’éveiller les soupçons. Dans le même temps, le malware récupérerait un fichier image bitmap contenant du code caché à l’aide de la stéganographie. Le code extrait est une balise Cobalt Strike.

En compromettant une source digne de confiance en Mongolie, les attaquants semblent avoir concentré leurs efforts sur les entités compromettantes de cette géographie. MonPass a été informé de la compromission et a pris des mesures pour sécuriser ses serveurs.

Les chercheurs en sécurité recommandent à tous ceux qui ont téléchargé le client MonPass entre le 8 février et le 3 mars 2021 de supprimer le client et de vérifier dans leurs systèmes la porte dérobée qu’il aurait pu récupérer et installer.

En relation: SonicWall Zero-Day exploité par le groupe Ransomware avant qu’il ne soit corrigé

Connexes : Russe…