Malware gebruikt certificaat Filipijnse marine voor versleutelde communicatie
Onderzoekers hebben een malware-exemplaar ontdekt dat een legitiem certificaat van de Filipijnse marine gebruikt om versleuteld met de aanvallers te communiceren. Het certificaat is inmiddels verlopen, maar zou al zeker sinds juni 2020 bij aanvallen zijn gebruikt, zo stelt antivirusbedrijf Avast in een analyse.
Volgens onderzoekers van de virusbestrijder hadden de aanvallers zeer waarschijnlijk toegang tot de privésleutel van het certificaat, dat was uitgegeven voor *.navy.mil.ph. Het certificaat was geldig van 15 december 2019 tot 15 december 2020. De malware waar Avast over bericht is een remote access tool (RAT). Eenmaal actief maakt de malware het mogelijk voor aanvallers om via een versleutelde TLS-verbinding met de besmette machine te communiceren.
De malware maakt echter eerst verbinding met de server van de aanvallers en zet alleen een communicatiekanaal op wanneer de server over het certificaat van de Filipijnse marine beschikt. Avast waarschuwde de Filipijnse marine en kreeg later te horen dat het probleem was verholpen en er geen verdere hulp van het antivirusbedrijf was vereist. "Omdat dit nu bij actieve aanvallen wordt ingezet, hebben we besloten onze bevindingen meteen openbaar te maken, zodat organisaties zichzelf kunnen beschermen", aldus het Avast Threat Intelligence Team.
NB; DNS voor de C&C server geeft 127.0.0.1
Nou en ? De malware client boeit dat niet , die connect en verwacht (en eist) gewoon navy.mil.ph als certificaat .
Het is alleen maar een keuze van een applicatie zoals browser om de domeinnaam en de naam gepresenteerd als TLS naam te vergelijken en dan de gebruiker iets te laten kiezen .
Zo'n "certificate pinning" configuratie maakt het voor een security analist erg voel moeilijker om als MITM het verkeer tussen de malware en de C&C server te inspecteren .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.