Bronze Starlight黑客巧妙地利用有效的Ivacy VPN代码签名证书来瞄准东南亚赌博业。

SentinelLabs研究人员发现，一个名为Bronze Starlight的APT组织一直在使用有效证书签署恶意软件。该证书由Ivacy VPN使用，黑客的目标是东南亚的赌博业。

使用这种技术，黑客可以确保恶意软件绕过所有安全措施而不会引起怀疑并入侵目标设备。它还可以轻松地融入合法软件流量中。

值得注意的是，该问题最初由MalwareHunterTeam于2023年5月29日在X（以前称为Twitter）上报告，随后由SentinelLabs进行分析。据研究人员称，这个被盗的证书属于新加坡VPN供应商PMG PTE LTD，即Ivacy VPN的开发商。

在Aleksandar Milenkoski撰写的SentinelLabs博客文章中，观察到第一波攻击发生在2023年3月；然而，这可能是一项名为“ChattyGoblin行动”（由ESET于2022年底发现）的黑客活动的延续。

Bronze Starlight（又名DEV-0401和SLIME34）是一个勒索软件组织，主要从事间谍活动和出于政治动机的活动，而不是出于经济动机。据SecureWorks和微软此前报道，该组织的主要武器是勒索软件，包括LockFile、LockBit 2.0、NightSky、AtomSilo、Pandora等。

攻击首先通过受损的聊天应用程序将.NET可执行文件（例如AdventuresQuest.exe）传送到目标设备上。MalwareHunterTeam的网络安全专家首先观察到这个特定文件，他们后来在X上报告了该文件。

根据MalwareHunterTeam的观察，此次攻击中使用的证书与真实Ivacy VPN安装中使用的证书类似。

然后，可执行文件通过易受DLL劫持的流行程序的伪造或受感染版本（例如Microsoft Edge、Adobe Creative Cloud和McAfee VirusScan）从阿里巴巴存储库检索受密码保护的ZIP存档。

SentinelLabs的进一步研究表明，可执行文件使用地理限制来防止恶意软件在某些预先定义的西方国家（例如美国、法国、德国、俄罗斯、印度、加拿大和英国）执行。这可能是因为黑客要么对瞄准这些区域不感兴趣，要么故意避开它们以提高此次活动成功的机会。

研究人员认为，尽管Ivacy VPN的证书已被使用（也可在PMG PTE LTD网站上找到），但该VPN供应商似乎并未参与此次黑客攻击。

“PMG PTE LTD签名密钥很可能在某个时候被盗，这是已知威胁行为者熟悉的用于启用恶意软件签名的技术。”

这是一种常见做法，因为VPN经常成为APT组织的目标，因为它们可能提供大量敏感数据和通信。目前尚不清楚黑客可以通过Ivacy VPN获得什么样的数据。供您参考，该证书现已被DigiCert吊销。

令人惊讶的是，PMG PTE LTD和Ivacy VPN均未就此事发表任何官方声明。