Η ομάδα APT (advanced persistent threat) με την ονομασία “Bronze Starlight”, η οποία είναι συνδεδεμένη με την Κίνα, εντοπίστηκε να στοχεύει τη βιομηχανία gaming στην Νοτιοανατολική Ασία με κακόβουλο λογισμικό που είναι υπογεγραμμένο με έγκυρο πιστοποιητικό που χρησιμοποιείται από τον πάροχο VPN Ivacy.
Το κύριο πλεονέκτημα της χρήσης ενός έγκυρου πιστοποιητικού είναι να παρακάμπτει τα μέτρα ασφαλείας, να αποφεύγει την υποψία που προκαλούν οι ειδοποιήσεις του συστήματος και να αναμειγνύεται με το νόμιμο λογισμικό και την κυκλοφορία.
Σύμφωνα με την SentinelLabs, η οποία ανέλυσε την εκστρατεία, το πιστοποιητικό ανήκει στην PMG PTE LTD, μια σιγκαπουριανή εταιρεία προμηθευτής του προϊόντος VPN ‘Ivacy VPN’.
Οι κυβερνοεπιθέσεις που παρατηρήθηκαν τον Μάρτιο του 2023 πιθανότατα αποτελούν μια πιο πρόσφατη φάση του ‘Operation ChattyGoblin’ που ανέκρινε η ESET σε ένα αναφορά για το 4ο τρίμηνο του 2022 – το 1ο του 2023.
Ωστόσο, σύμφωνα με την SentinelLabs, είναι δύσκολο να συσχετιστεί με συγκεκριμένες ομάδες λόγω της έντονης κοινής χρήσης εργαλείων μεταξύ των κινδύνων από την Κίνα.
Δείτε επίσης: Cuba ransomware: Χρήση Veeam exploit για επιθέσεις σε κρίσιμες υποδομές
Δείτε επίσης: Νέα παραλλαγή του BlackCat ransomware χρησιμοποιεί τα εργαλεία Impacket και RemCom
DLL side-loading
Οι επιθέσεις ξεκινούν με την απόθεση εκτελέσιμων αρχείων .NET (agentupdate_plugins.exe και AdventureQuest.exe) στο σύστημα-στόχο, πιθανώς μέσω trojanized εφαρμογών συνομιλίας, που λαμβάνουν προστασία κωδικού πρόσβασης αρχεία ZIP από Alibaba buckets.
Το δείγμα κακόβουλου λογισμικού AdventureQuest.exe εντοπίστηκε αρχικά από τον ερευνητή ασφαλείας MalwareHunterteam τον Μάιο, όταν παρατήρησε ότι το πιστοποιητικό υπογραφής κώδικα ήταν το ίδιο με αυτό που χρησιμοποιήθηκε για τους επίσημους installers του Ivacy VPN.
Αυτά τα αρχεία περιέχουν ευάλωτες εκδόσεις λογισμικού, όπως το Adobe Creative Cloud, το Microsoft Edge και το McAfee VirusScan, τα οποία είναι ευάλωτα στην αποκλειστική χρήση DLL. Οι χάκερ Bronze Starlight χρησιμοποιούν αυτές τις ευάλωτες εφαρμογές για να εγκαταστήσουν Cobalt Strike beacons σε στοχευμένα συστήματα.
Οι κακόβουλες DLL (libcef.dll, msedge_elf.dll και LockDown.dll) είναι συμπιεσμένες μέσα στα αρχεία δίπλα στις νόμιμες εκτελέσιμες προγράμματος του προγράμματος και τα Windows δίνουν προτεραιότητα στην εκτέλεσή τους έναντι ασφαλέστερων εκδόσεων των ίδιων DLL που είναι αποθηκευμένες στο C:\Windows\System32, επιτρέποντας έτσι στο κακόβουλο κώδικα να εκτελεστεί.
Το SentinelLabs σημειώνει ότι τα εκτελέσιμα .NET διαθέτουν έναν περιορισμό γεωγραφικής προστασίας που αποτρέπει την εκτέλεση του κακόβουλου λογισμικού στις Ηνωμένες Πολιτείες, τη Γερμανία, τη Γαλλία, τη Ρωσία, την Ινδία, τον Καναδά ή το Ηνωμένο Βασίλειο.
Αυτές οι χώρες βρίσκονται εκτός του πεδίου εφαρμογής της καμπάνιας και αποκλείονται για να αποφευχθεί η ανίχνευση και η ανάλυση. Ωστόσο, λόγω ενός σφάλματος στο geofencing implementation, δεν λειτουργεί.
Δείτε επίσης: HiatusRAT malware: Επιτίθεται σε εταιρείες της Ταϊβάν και τον στρατό των ΗΠΑ
Κατάχρηση έγκυρου πιστοποιητικού
Μια ενδιαφέρουσα πτυχή των επιθέσεων που παρατηρήθηκαν είναι η χρήση ενός πιστοποιητικού κωδικοποίησης που ανήκει στην PMG PTE LTD, την εταιρεία πίσω από το Ivacy VPN.
Πράγματι, το ίδιο πιστοποιητικό χρησιμοποιείται για να υπογραφεί ο επίσημος installer του Ivacy VPN που συνδέεται από την ιστοσελίδα του πάροχου VPN.
Εάν το πιστοποιητικό κλάπηκε, οι ερευνητές ασφαλείας ανησυχούν για το τι άλλο είχαν πρόσβαση οι απειλητικοί παράγοντες στον πάροχο VPN.
Η PMG PTE LTD δεν έχει ανταποκριθεί σε αυτήν την αποκάλυψη με δημόσια δήλωση, οπότε οι ακριβείς τρόποι με τους οποίους οι χάκερ απέκτησαν πρόσβαση στο πιστοποιητικό παραμένουν ασαφείς.
Παράλληλα, η DigiCert ανακάλεσε και ακύρωσε το πιστοποιητικό τον Ιούνιο του 2023 λόγω παραβίασης των κατευθυντήριων γραμμών “Baseline Requirements”.
Πηγή πληροφοριών: bleepingcomputer.com
 με την ονομασία "Bronze Starlight", η οποία είναι συνδεδεμένη με την Κίνα, εντοπίστηκε να...){kind=link}