蒙古认证机构遭黑客攻击，分发后门CA软件

在另一起软件供应链攻击事件中，身份不明的黑客侵入蒙古主要认证机构之一MonPass的网站，用Cobalt Strike二进制文件对其安装软件进行后门攻击

捷克网络安全软件公司在星期四公布的一份报告中说：“特洛伊化客户端可以在2021年2月8日和2021年3月3日之间下载。”

此外，MonPass托管的一个公共web服务器可能被渗透了多达八次，研究人员在受损服务器上发现了八个不同的web外壳和后门

“恶意安装程序是一个未签名的[可移植可执行]文件，”研究人员说。“它首先从MonPass官网下载安装程序的合法版本。这个合法版本被放到‘C:\Users\Public\’文件夹中，并在一个新的进程下执行。这保证了安装程序的行为符合预期，这意味着普通用户不太可能注意到任何可疑的东西。”

#该操作方法还值得注意的是，使用隐写术将外壳代码传输到受害机器，安装程序从远程服务器下载位图图像（.BMP）文件，以提取和部署加密的钴打击信标有效负载

MonPass在4月22日收到事件通知，之后证书颁发机构采取措施解决其受损的服务器，并通知下载后门客户端的用户

#本周早些时候，这一发展也证明了在威胁参与者活动中滥用钴打击穿透测试工具的行为已经激增，从2019年到2020年，同比增长161%

“钴打击作为一种初始访问有效载荷在威胁行为体中越来越流行，而不仅仅是威胁行为体在实现访问后使用的第二阶段工具，2020年，犯罪威胁行为体构成了归因于钴打击活动的大部分，”Proofpoint研究人员说。