Dalam contoh lain serangan rantai pasokan perangkat lunak, peretas tak dikenal melanggar situs web MonPass, salah satu otoritas sertifikat utama Mongolia, untuk mem-backdoor perangkat lunak penginstalnya dengan binari Cobalt Strike.
Klien trojan tersedia untuk diunduh antara 8 Februari 2021, dan 3 Maret 2021, kata perusahaan perangkat lunak keamanan siber Ceko Avast dalam sebuah laporan yang diterbitkan Kamis.
Selain itu, server web publik yang dihosting oleh MonPass berpotensi disusupi sebanyak delapan kali secara terpisah, dengan para peneliti mengungkap delapan cangkang web dan pintu belakang yang berbeda pada server yang disusupi.
Penyelidikan Avast atas insiden tersebut dimulai setelah menemukan penginstal pintu belakang dan implan pada salah satu sistem pelanggannya.
“Pemasang berbahaya adalah file [Portable Executable] yang tidak ditandatangani,” kata para peneliti. “Ini dimulai dengan mengunduh versi penginstal yang sah dari situs web resmi MonPass. Versi yang sah ini dijatuhkan ke folder ‘C:\Users\Public\’ dan dijalankan di bawah proses baru. Ini menjamin bahwa penginstal berperilaku seperti yang diharapkan, artinya pengguna biasa tidak mungkin melihat sesuatu yang mencurigakan.”
selengkapnya : thehackernews.com
