Xakep #305. Многошаговые SQL-инъекции
Специалисты ИБ-компании Emsisoft предупредили, что злоумышленники используют поддельные сертификаты для подписи кода, выдавая себя за Emsisoft. Атакующие нацеливаются на клиентов компании, использующих ее продукты, в надежде обойти их защиту.
В своем бюллетене безопасности Emsisoft сообщает, что недавно один из ее клиентов стал мишенью хакеров, которые использовали исполняемый файл, подписанный поддельным сертификатом Emsisoft.
«Недавно мы наблюдали инцидент, в ходе которого фальшивый сертификат для подписания кода, якобы принадлежащий Emsisoft, использовался для сокрытия таргетированной атаки против одного из наших клиентов. Эта организация использовала наши продукты, и цель злоумышленников состояла в том, чтобы заставить организацию разрешить работу приложения, которое злоумышленники установили и намеревались использовать, списав его обнаружение на ложное срабатывание», — говорят представители Emsisoft.
Хотя атака не удалась, а ПО Emsisoft заблокировало файл хакеров из-за недействительной подписи, компания предупреждает клиентов о необходимости проявлять бдительность в отношении подобных атак.
По информации специалистов Emsisoft, злоумышленники, вероятно, получили первоначальный доступ к скомпрометированному устройству клиента с помощью RDP-брутфорса или использовали украденные учетные данные, принадлежащие сотруднику атакованной организации.
Получив доступ, атакующие попытались установить легитимное опенсорсное приложение MeshCentral для удаленного доступа, которому обычно доверяют защитные решения. Однако исполняемый файл MeshCentral в данном случае был подписан поддельным сертификатом Emsisoft, утверждающим, что тот выпущен «доверенным сетевым центром сертификации Emsisoft Server».
В итоге ПО Emsisoft просканировало файл, но пометило его как «Неизвестный» из-за недопустимой подписи и поместило в карантин.
Отмечается, что если бы сотрудник компании-цели воспринял это предупреждение как ложное срабатывание, он мог бы разрешить запуск приложения, и злоумышленники смогли бы получить полный доступ к устройству.
«Этот инцидент демонстрирует, что организациям необходимо иметь несколько уровней защиты. Чтобы, если атаку не удалось блокировать на одном уровне, это было сделано на другом уровне», — говорят в Emsisoft.