提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

蒙古认证机构（CA）的官方网站窝藏恶意软件，并为用户下载后门客户端提供便利。

来自Avast的研究人员将MonPass命名为受损CA，由于CA服务器上存在8个不同的web shell和后门，该漏洞可能被破坏多达8次。

在3月至4月进行的分析中，Avast不仅发现了由于web shell和后门而导致的危害迹象，而且还发现了2月8日起提供的一个版本的MonPass客户端，2021年，直到2021年3月3日才下载，是恶意的。

Avast说安装程序包含Cobalt-Strike二进制文件。Cobalt Strike是针对渗透测试人员的合法威胁模拟工具，也被威胁参与者滥用，用于恶意软件部署、数据泄漏和网络活动混淆等目的。

恶意安装程序，一个未签名的PE文件，首先从MonPass域中提取合法的安装程序版本，并在用户的机器上执行该软件，以避免引起怀疑。然而，在后台，还下载了一个图像文件，并使用隐写术来解包和解密隐藏的代码，其中包含安装在受害者机器上的钴击信标。

Avast说，在VirusTotal上发现了恶意软件包的其他变体。

在属性方面，研究人员说，“我们无法以适当的置信度来确定这些攻击的归属。”

“然而，很明显，攻击者显然有意通过损害一个可信的来源（在本例中是蒙古的CA）来向蒙古的用户传播恶意软件，“Avast补充道。

MonPass于4月22日通过MN CERT/CC收到了研究者发现的通知。到6月29日，MonPass确认问题已经解决，导致Avast公开披露。

任何在2月8日至3月3日期间下载MonPass客户端软件的人都应该删除客户端及其相关后门。可用的最新版本是v.1.21.1。

MonPass告诉ZDNet，受影响的客户被告知安全问题，公司“远程扫描他们的计算机，以确保没有威胁。”

“这些攻击不会影响我们的公钥基础设施系统，我们的系统是完全安全的，该公司表示：“在多层保护下，它可以正常运行。之前的报道和相关报道后门恶意软件正在通过伪造的安全证书进行传播，警告苹果将整个CA行业的证书有效期延长到一年，谷歌禁止Chrome的另一个行为不端的CA有什么提示吗？”？通过WhatsApp |信号+447713 025 499或通过Keybase:charlie0安全联系：Kaseya勒索软件供应链攻击：您需要知道的信息Microsoft揭示身份验证失败，Netgear路由器存在系统劫持漏洞

哥伦比亚警方衣领疑似Gozi特洛伊木马发行商

中国黑客组织冒充阿富汗总统通过注册潜入政府机构

，您同意使用条款，并承认隐私政策中概述的数据实践。

您还将获得免费订阅的ZDNet今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS系列公司的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:37