黑客在入侵蒙古 CA MonPass 后傳播后門

Avast 研究人員報告稱，黑客入侵了蒙古證書頒發機構 (CA) [MonPass](http://monpass.mn/)的服務器，并利用其網站傳播惡意軟件。據專家稱，安全漏洞至少發生在六個月前，MonPass 可能被破壞了八次，Avast 研究人員在 CA 受感染的服務器上發現了八個不同的 webshel??l 和后門。

作為東亞的主要 CA，MonPass 似乎至少在六個月前遭到破壞，攻擊者大約八次返回受感染的公共網絡服務器。

我們發現從MonPass東亞蒙古的一個主要認證機構 (CA)的官方網站下載的安裝程序 被 Cobalt Strike 二進制文件后門。” 陳述了Avast 發布的分析。

一旦入侵了該網站，攻擊者就會分發帶有 Cobalt Strike 信標后門的安裝程序。專家還發現，官方 MonPass 客戶端的受感染版本是在 2021 年 2 月 8 日至 3 月 3 日之間分發的。

該安全公司并未將此次攻擊歸因于特定的威脅行為者，但是，專家注意到與此次攻擊相關的妥協指標 (IoC) 與NTT 安全威脅情報專家共享的指標重疊.

惡意安裝程序是一個未簽名的PE文件，首先從MonPass官網下載合法版本的安裝程序。一旦合法版本被刪除，它會在一個新進程下執行以避免引起任何懷疑。

同時，攻擊者利用隱寫術將 shellcode 隱藏在惡意代碼獲取的位圖圖像文件中。對提取的代碼的分析是 Cobalt Strike 信標。

“在兩個 HTTP 請求中，下載的執行略有不同。第一個請求使用 HEAD 方法檢索 Content-Length，然后是第二個 GET 請求以實際下載圖像。圖片下載后，惡意軟件會提取加密的有效載荷”繼續 Avast。

Avast 研究人員在 VirusTotal 上發現了該惡意軟件的其他變體，在某些情況下，樣本包含使用相同 XOR 解密的反分析技術，還包含類似的 C2 服務器地址

“目前，我們無法以適當的信心對這些攻擊進行歸因。但是很明顯，攻擊者顯然打算通過破壞可信賴的來源（在這種情況下是蒙古的 CA）向蒙古的用戶傳播惡意軟件。” 分析結束。