Nieuws

Malware gebruikt certificaat Filipijnse marine voor versleutelde communicatie

maandag 28 maart 2022, 15:11 door Redactie, 5 reacties

Onderzoekers hebben een malware-exemplaar ontdekt dat een legitiem certificaat van de Filipijnse marine gebruikt om versleuteld met de aanvallers te communiceren. Het certificaat is inmiddels verlopen, maar zou al zeker sinds juni 2020 bij aanvallen zijn gebruikt, zo stelt antivirusbedrijf Avast in een analyse.

Volgens onderzoekers van de virusbestrijder hadden de aanvallers zeer waarschijnlijk toegang tot de privésleutel van het certificaat, dat was uitgegeven voor *.navy.mil.ph. Het certificaat was geldig van 15 december 2019 tot 15 december 2020. De malware waar Avast over bericht is een remote access tool (RAT). Eenmaal actief maakt de malware het mogelijk voor aanvallers om via een versleutelde TLS-verbinding met de besmette machine te communiceren.

De malware maakt echter eerst verbinding met de server van de aanvallers en zet alleen een communicatiekanaal op wanneer de server over het certificaat van de Filipijnse marine beschikt. Avast waarschuwde de Filipijnse marine en kreeg later te horen dat het probleem was verholpen en er geen verdere hulp van het antivirusbedrijf was vereist. "Omdat dit nu bij actieve aanvallen wordt ingezet, hebben we besloten onze bevindingen meteen openbaar te maken, zodat organisaties zichzelf kunnen beschermen", aldus het Avast Threat Intelligence Team.

EFF wil ingebouwde tracker-detectie in smartphones om stalking te voorkomen

VS klaagt viertal aan voor wereldwijde aanvallen op vitale infrastructuur

Reacties (5)

28-03-2022, 16:42 door Anoniem

Verholpen in de zin dat ze het certificaat hebben ingetrokken?

28-03-2022, 16:55 door Anoniem

Weet je wie er nog toegang heeft tot de privé sleutels? De Filipijnse marine.

28-03-2022, 18:44 door Anoniem

Door Anoniem: Verholpen in de zin dat ze het certificaat hebben ingetrokken?

Ik heb niet het idee dat dit bij malware zou helpen. Waarschijnlijk controleert het alleen of het "juiste" certificaat wordt gebruikt.

NB; DNS voor de C&C server geeft 127.0.0.1

28-03-2022, 20:46 door Anoniem

De domeinnamen matchen toch niet? In een browser zou je een foutmelding krijgen.

28-03-2022, 22:15 door Anoniem

Door Anoniem: De domeinnamen matchen toch niet? In een browser zou je een foutmelding krijgen.

Nou en ? De malware client boeit dat niet , die connect en verwacht (en eist) gewoon navy.mil.ph als certificaat .

Het is alleen maar een keuze van een applicatie zoals browser om de domeinnaam en de naam gepresenteerd als TLS naam te vergelijken en dan de gebruiker iets te laten kiezen .

Zo'n "certificate pinning" configuratie maakt het voor een security analist erg voel moeilijker om als MITM het verkeer tussen de malware en de C&C server te inspecteren .

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer