バックドア付き公式クライアント
認証局の仕事にもいろいろありますが、証明書の更新などに関連するクライアントプログラムの配布というものもあります。
そういった類のソフトウェアの配布で残念な事例がありました。
侵入されていることに気がつかないまま通常業務を継続してしまうことというのはあることに思えますが、この事例では、2021年4月に調査したときに、実に8つの異なるWebシェルとバックドアが確認されています。
この調査の段階ではどこの犯罪者がこの活動に関連しているのかの解析はできなかったようですが、その後の調査でWinntiが関連していると考えられる侵入の痕跡(IoC)が確認されています。
この侵害されたクライアントソフトをダウンロードして実行した人のPCでは次のようなことになります。
- 侵害されたインストーラーが公式Webサイトから正規のバージョンのインストーラーをダウンロードする
- その正規のインストーラーを実行し、利用者には正規のクライアントソフトのインストールを実施させておく
- その間に侵害されたインストーラーは同時に継続作業する
- ビットマップイメージファイル(BMP画像ファイル)をダウンロードする
- 画像ファイルからステガノグラフィで組み込まれているデータ(これはコバルトストライクビーコンです)を取り出す
- コバルトストライクビーコンを利用する
今回の事例はモンゴルの認証局の一つであるMonPassでの出来事でした。
2月8日から3月3日の間にMonPassクライアントソフトウェアをダウンロードした人は、この事例の関係の調査が必要です。
現在適正なバージョンについての情報も公表されていますし、対象者についてはMonPassがリモートで脅威を取り除くことができているのかを確認もしてくれます。
なにかを入手するときは公式から入手すれば大丈夫と思いたいですが、公式でもこんなことが起こってしまうのですね。
面倒に思いますが、すべてのソフトウェア配布に際しては、HASHの公表も必要なんでしょうか。
あ、でもあれか、そのHASHの公表の内容も併せて改変されると結局意味がないですね。
HASHの公表は別の安全策をとって実施するとかの手法でなんとかできるようにも思いますが、どうするのがいいでしょうかね。
本当に面倒なことになってきています。
参考記事(外部リンク):Mongolian certificate authority hacked eight times,
compromised with malware
therecord.media/mongolian-certificate-authority-hacked-eight-times-compromised-with-malware/
