Удостоверяющий центр в Монголии взломан через публичный веб-сервер

Удостоверяющий центр в Монголии взломан через публичный веб-сервер
Компания Avast сообщила о случае доставки вредоносного ПО через клиентское приложение крупного удостоверяющего центра (СА – Certification authority) MonPass в Монголии. Согласно опубликованному отчету, о заражении ресурсов официального сайта CA стало известно из расследования инцидента у одного из клиентов Avast.

В докладе сообщается, что в период с 8 февраля по 3 марта текущего года версия установщика клиента MonPass, предлагаемого к скачиванию на официальном сайте CA, была модифицирована неустановленным злоумышленником. Вместе с установкой официального приложения на устройстве жертвы запускался бэкдор на основе ПО Cobalt Strike.

Отмечается, что для передачи шелл-кода своим жертвам злоумышленники использовали стеганографию. При выполнении бэкдор загружает специально подготовленный файл растрового изображения в два этапа: первый запрос использует метод HEAD для получения Content-Length (размера тела HTTP-ответа в байтах), второй – метод GET для загрузки непосредственно изображения.

Рисунок 1. Изображение, используемое для передачи шелл-кода.

После загрузки изображения вредоносная программа извлекает зашифрованные данные, в результате чего в системе разворачивается маяк (beacon) Cobalt-Strike – иначе говоря, полноценный бэкдор.

Avast сообщает, что от MonPass поступила информация о завершении устранения проблемы.

Также по итогу проведенного анализа было определено, что общедоступный веб-сервер MonPass мог быть взломан по меньшей мере восемь раз, так как размещал восемь различных веб-оболочек и бэкдоров. Официальных комментариев от монгольского CA, к сожалению, не появлялось, однако такое потенциальное количество успешных попыток компрометации и довольно длительный период пребывания зараженного объекта в системе может свидетельствовать о том, что безопасность веб-сервера не была обеспечена в полной мере.

«Распространение вредоносной составляющей через легитимные источники и модифицированные легитимные программы заметно увеличивает вероятность заражения. В таких случаях важна не только защита на стороне конечного пользователя, позволяющая своевременно выявить и заблокировать опасные процессы в системе. Важную роль составляет грамотная организация кибербезопасности источника. Фильтрация веб-трафика компании – один из основополагающих механизмов защиты веб-ресурса, позволяющий предотвратить широкий спектр атак на него, в том числе встраивание вредоносного контента, и таким образом защитить пользователя, который может быть потенциальным или действующим клиентом компании. Это означает, что репутация собственника ресурса также будет под защитой», – отмечает директор Инженерного центра Angara Professional Assistance Тимур Кузнецов.

Малому и среднему бизнесу зачастую приходится экономить на средствах обеспечения информационной безопасности организации, из-за чего недостаточно защищенные системы подвергаются риску компрометации и заражения. В таких случаях эффективным решением с финансовой и технологической точки зрения становится использование услуг по аутсорсингу информационной безопасности. Арсенал MSS-услуг Angara Professional Assistance предлагает защиту web-приложений клиентов от киберугроз, включая сигнатурный и поведенческий анализ трафика, сканирование и выявление уязвимостей web‑приложений и др.

Если вы не уверены в эффективности и надежности работы ИТ-систем вашей компании, намерены оценить адекватность уровня сопровождения ИТ и ее готовность к инцидентам ИБ, мы рекомендуем воспользоваться нашей услугой технического аудита.

За подробностями об услугах можно обратиться к разделам нашего сайта: « Сервисы по модели Managed Security Services (MSS)» (блок «Защита web-приложений») и « Технический аудит ». Получить другую информацию и задать дополнительные вопросы можно, обратившись к менеджерам компании Angara Professional Assistance по e-mail info@angarapro.ru или телефону 8 (495) 269-26-06.
Alt text

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!

Angara Technologies Group

Корпоративный блог компании Angara Technologies Group