Recentemente, il gruppo di minacce avanzate persistenti (APT) noto come “Bronze Starlight“, affiliato alla Cina, ha mirato all’industria del gioco d’azzardo del Sud-Est asiatico. Hanno utilizzato un malware firmato con un certificato valido del fornitore di VPN Ivacy. Questa mossa ha permesso loro di eludere le misure di sicurezza standard.
Il certificato di PMG PTE LTD
SentinelLabs ha rivelato che il certificato in questione appartiene a PMG PTE LTD, un venditore di Singapore del prodotto VPN “Ivacy VPN”. Gli attacchi, registrati nel marzo 2023, potrebbero essere una fase avanzata dell'”Operazione ChattyGoblin”, precedentemente identificata da ESET.
Metodo di attacco: DLL SIDE-LOADING
L’approccio degli hacker inizia con l’implementazione di eseguibili .NET sul sistema bersaglio. Questi eseguibili, probabilmente diffusi attraverso app di chat compromesse, scaricano archivi ZIP protetti da password. Questi archivi contengono versioni vulnerabili di software noti, che gli hacker sfruttano per infiltrarsi ulteriormente nei sistemi. Il metodo di infezione è definito sideloading.
L’abuso del certificato valido
Una caratteristica peculiare di questi attacchi è l’uso di un certificato di codifica appartenente a PMG PTE LTD. Questo certificato è lo stesso utilizzato per firmare l’installatore ufficiale di Ivacy VPN. La preoccupazione principale è come e quando gli hacker hanno ottenuto accesso a questo certificato.