近期,SentinelLabs的网络安全研究人员发现了一项黑客活动,其中合法的VPN服务证书被滥用,以便在明目张胆中隐藏恶意软件。这项活动的背后被认为是中国国家支持的APT组织“青铜星光”,其目标是东南亚地区的博彩行业公司。
恶意软件传播方式
根据研究报告,该组织通过伪装的聊天应用程序分发了两个.NET可执行文件——agentupdate_plugins.exe和AdventureQuest.exe。研究人员表示,此次活动的目标是传递一个Cobalt Strike信标。
读者优惠: 赠送50美元的亚马逊礼品卡,参加演示
节省250多个小时的手动配置时间。一天内部署整个组织。了解为什么Perimeter 81被TechRadar评选为最佳商业VPN。抛弃过时的硬件,转向云服务。亲自体验其简单性。
隐藏在明目张胆之中
Cobalt Strike是一种商业渗透测试工具,既被安全专业人士使用,也被网络犯罪分子利用。其合法用途包括测试网络和系统的安全性。
.NET可执行文件的代码签名证书与流行的虚拟私人网络解决方案Ivacy VPN的安装程序所使用的证书相同。通过使用合法证书,攻击者能够绕过目标终端上安装的网络安全解决方案,同时确保由恶意软件生成的任何进出流量保持隐蔽。
地理围栏的失误
研究人员还发现,这两个.NET可执行文件被设计为在某些国家(包括美国、德国、法国、俄罗斯、印度、加拿大和英国)无法运行,可能是为了进一步规避检测。但他们补充说,这一地理围栏功能并没有正确实现。
“很可能在某个时刻,PMG PTE LTD的签名密钥被盗——这是已知中国威胁行为者为启用恶意软件签名所采用的熟悉技术,”SentinelLabs表示。“VPN提供商是关键目标,因为它们使威胁行为者能够潜在地访问敏感用户数据和通信。”
Ivacy VPN的沉默
目前,Ivacy VPN对此事件保持沉默,因此很难确定黑客究竟是如何获得这些证书的。随后,这些证书因违反DigiCert设定的“基本要求”而被作废。
查看最佳终端保护工具
通过这些发现,我们可以看到VPN服务在网络安全中的重要性。选择一个可靠的VPN,不仅可以保护个人隐私,还可以防止潜在的网络攻击。
