image

Gehackte updateserver softwarebedrijf verspreidde malware

dinsdag 21 augustus 2018, 15:57 door Redactie, 3 reacties

Aanvallers hebben de updateserver van een Zuid-Koreaans softwarebedrijf gehackt en gebruikt om malware mee te verspreiden, zo meldt anti-virusbedrijf Trend Micro. Het gaat om een zogeheten "supply chain" aanval, enigszins vergelijkbaar met de NotPetya-aanval die vorig jaar plaatsvond.

Het niet nader genoemde softwarebedrijf ontwikkelt oplossingen voor "remote support" en zou vooral in Zuid-Korea erg populair zijn. In de Zuid-Koreaanse media wordt gemeld dat het bedrijf meer dan 10.000 klanten heeft. Aanvallers wisten de private key te stelen van het certificaat waarmee de code van het softwarebedrijf wordt gesigneerd. Vervolgens signeerden de aanvallers hun eigen kwaadaardige update met dit certificaat. Deze update werd klaargezet op de server van de aanvallers.

De aanvallers wisten ook de updateserver van het softwarebedrijf te hacken. De server werd zo geconfigureerd dat wanneer klanten van het softwarebedrijf met een bepaald ip-adres verbinding maakten, de kwaadaardige update werd aangeboden. Aangezien de kwaadaardige update met het juiste certificaat was gesigneerd werd die door de remote support-oplossing geaccepteerd en uitgevoerd.

Zodoende werd er een remote access trojan (RAT) op het systeem geïnstalleerd die was ontwikkeld om gegevens te stelen. Ook installeerde de RAT aanvullende kwaadaardige tools, zoals een exploittool voor een kwetsbaarheid in Internet Information Services (IIS) 6 WebDav en een wachtwoorddumper voor SQL-databases. "Deze tools suggereren dat de aanvallers ook zochten naar data die hun slachtoffers in hun webservers en databases hadden opgeslagen", zegt onderzoeker Joseph Chen. Uit logbestanden blijkt dat de RAT die voor deze aanval werd gebruikt zo was ingesteld dat die alleen tussen 18 juli tot en met 31 juli actief zou zijn.

Om supply chain-aanvallen te voorkomen, die via vertrouwde leveranciers en derde partijen plaatsvinden, krijgen organisaties verschillende adviezen. Zo wordt aangeraden om netwerksegmentatie toe te passen, het gebruik van systeembeheertools te beperken, proactief het netwerk op verdachte activiteiten te monitoren en toezicht te houden op de producten en diensten van derde partijen. Zo moeten er ook "security controls" voor applicaties van derde partijen worden toegepast, aldus Chen. Welke en hoeveel organisaties er precies zijn aangevallen is niet bekendgemaakt.

Image

Reacties (3)
22-08-2018, 09:20 door Anoniem
Frappeert mij wel dat Trend Micro zo vaak met dit soort berichten in het nieuws komt.

Ligt dat aan mij?
22-08-2018, 11:04 door Anoniem
Door Anoniem: Frappeert mij wel dat Trend Micro zo vaak met dit soort berichten in het nieuws komt.

Ligt dat aan mij?

Tenzij jij diegene bent, die ervoor zorgt dat Trend Micro dit constateert en rapporteert, is het antwoord nee...
22-08-2018, 16:30 door Anoniem
Door Anoniem: Frappeert mij wel dat Trend Micro zo vaak met dit soort berichten in het nieuws komt.

Ligt dat aan mij?

"rend Micro Inc. is a Japanese multinational cyber security and defense company founded in Los Angeles, California with global headquarters in Tokyo, Japan, a R&D center in Taipei, Taiwan, and regional headquarters in Asia, Europe and the Americas."

Nee, dat is het tegenovergestelde van raar/gek/apart.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.