DigiCert provaljen preko lažnog skrensejvera - 60 sertifikata za potpisivanje koda oduzeto
DigiCert je provaljen preko lažnog screensaver fajla; napadač je prisvojio 60 EV sertifikata korišćenih za Zhong Stealer malver.
Šta se desilo?
Napadač je u aprilu 2026. godine uspeo da provali internu podršku DigiCerta slanjem lažnog .scr fajla (screensaver) preko Salesforce četa. Iskorišćavanjem kompromitovanih naloga zaposlenih, napadač je pristupio administrativnom portalu i prisvojio inicijalizacijske kodove za 60 sertifikata za potpisivanje koda sa povećanim nivoom povere (EV Code Signing certificates). Ukradeni sertifikati su korišćeni za digitalno potpisivanje malvera poznate kao Zhong Stealer.
Koga pogađa?
Organizacije koje koriste DigiCertove EV sertifikate za potpisivanje koda - posebno one u finansijskom sektoru i razvojnim timovima. Krajnji korisnici su riziku jer je malver distribuiran preko legitimno potpisanih izvršnih fajlova, što čini njegovu detekciju težom. Vlasnici uređaja koji su primili Zhong Stealer mogu iskusiti krađe kredencijala i pristupa digitalnim novčanicima.
Kako se zaštititi?
- Odmah proverite sve DigiCertove sertifikate koje ste pinovali ili uvrstili u dozvoljene liste - uverite se da su revocirani
- Ažurirajte listu opozanih sertifikata (CRL/OCSP) na svim sistemima za proveru potpisa koda
- Aktivirajte napredne filter za fajlove sa .scr ekstenzijom - uvek traži korisnika da potvrdi izvršavanje
- Primenjujte stroga pravila za pristup administrativnim portalima - zahtevajte hardverske ključeve za fajerfoksa (hardverske sigurnosne ključeve) za MFA
- Provera izvora svih datoteka koje stižu preko čet kanala - posebno one sa navedenom zamenom veličine
- Redovna obuka zaposlenih o socijalnom inžinjerstvu i malicioznim fajlovima
Tehnički detalji
Napadač je iskoristio klasičan trik gde Windows tretira .scr fajlove kao izvršne programe. Inicijalni napadi su blokirani od strane CrowdStrike-a, ali peti pokušaj je uspeo. Kritična greška je bila malfunkcionalan CrowdStrike sensor na drugoj zaraženoj mašini (ENDPOINT2), što je omogućilo deset dana nedetektovanog pristupa. Napadač je koristio sedam IP adresa: 82.23.186[.]8, 154.12.185[.]32, 45.144.227[.]12, 203.160.68[.]2, 154.12.185[.]30, 62.197.153[.]45, i 45.144.227[.]29. Ukupno 27 od 60 sertifikata je direktno povezano sa identifikovanim napadačem, a preostali su revocirani kao preventivna mera. Zhong Stealer je RAT/Stealer hibrid koji se povezuje sa GoldenEyeDog (APT-Q-27) grupom, poznati kineskom grupom za e-kriminal.
Preporuka Sajber Radara
Preduzećima sa zavisnostima od DigiCertovih sertifikata za potpisivanje koda preporučujemo hitnu reviziju svih sistema za validaciju potpisa, proveru sertifikata i konfiguracije dozvoljenih listi. Paralelno, primenjujte dodatne kontrole za pristup administrativnim portalima i razmotrite prelazak na hardverske sigurnosne ključeve za zaposlenike sa privilegovnim pristupom.
