Attacco alla supply chain di Passwordstate espone 29K aziende al rischio di compromissione

[post-views]
Aprile 28, 2021 · 4 min di lettura
Attacco alla supply chain di Passwordstate espone 29K aziende al rischio di compromissione

Il produttore di software australiano Click Studios è stato vittima di una violazione della sicurezza che ha portato a un attacco alla catena di approvvigionamento. Nell’aprile 2020, gli avversari hanno compromesso con successo il meccanismo di aggiornamento dell’app per la gestione delle password aziendali di Click Studios, Passwordstate, per consegnare il malware Moserpass sui dispositivi degli utenti. Il numero di clienti coinvolti è attualmente sconosciuto, tuttavia, il fornitore afferma che il tasso di infezione è molto basso. Tuttavia, le indagini sono in corso e il numero finale delle vittime potrebbe aumentare. Ad oggi, oltre 29.000 aziende in tutto il mondo si affidano a Passwordstate per gestire i propri processi giornalieri, comprese le aziende Fortune-500, le istituzioni governative e le agenzie di difesa.

Dettagli dell’attacco alla catena di approvvigionamento

La dichiarazione ufficiale di Click Studios rivela che la violazione della sicurezza si è verificata tra il 20 aprile 2021, 20:33 UTC e il 22 aprile 2021, 00:30 UTC. Qualsiasi cliente che abbia aggiornato il servizio durante questo periodo potrebbe avere i propri sistemi aziendali a rischio.

Secondo il ricerca del CSIS Group, una società di sicurezza che sta indagando sull’attacco, gli attori malintenzionati sono riusciti a compromettere un file del direttore situato sul sito web di Click Studios e a interferire con il meccanismo di aggiornamento dell’app Passwordstate. In particolare, gli hacker hanno modificato l’aggiornamento con una “Moserware.SecretSplitter.dll” libreria che è stata inserita con l’aiuto di un piccolo pezzo di codice chiamato “Loader.” Di conseguenza, l’aggiornamento regolare ha consegnato il malware Moserpass alle vittime sotto forma di un file “Passwordstate_upgrade.zip”. Nota bene, la DLL grezza si è basata su una Content Delivery Network (CND) che è stata terminata il 22 aprile 2021, 07:00 UTC. file. Notably, the rough DLL relied on a Content Delivery Network (CND) that was terminated on 22nd of April 2021, 7 AM UTC.

Funzionalità dannose di Moserpass

Una volta infettato, il malware Moserpass è in grado di raccogliere dati sensibili di sistema e di Passwordstate, che vengono inviati ulteriormente al server di comando e controllo (C&C) sotto il controllo dell’attaccante. In particolare, questo software dannoso estrae dettagli come il nome del computer, il nome utente, il nome del dominio, il nome del processo attuale, l’ID del processo attuale, tutti i servizi in esecuzione, l’indirizzo del Proxy Server dell’installazione di Passwordstate, le credenziali di Passwordstate e altro ancora. Tuttavia, il Nome Dominio e il Nome Host non sono raccolti come parte di questo processo dannoso. Inoltre, non ci sono prove che chiavi di crittografia o stringhe di connessione al database vengano trasferite al C&C dell’attaccante. Dopo aver raccolto e caricato i dati, il malware Moserpass si ferma per 24 ore e riavvia la sua attività dannosa.

Vale la pena notare che quei clienti che hanno le loro credenziali Passwordstate crittografate sono considerati sicuri poiché Moserpass non ha la capacità di raccogliere tali dati.

Rilevazione e Mitigazione

Click Studios esorta i suoi clienti a procedere a un cambio di password il prima possibile. Inoltre, il fornitore ha emesso un avviso dettagliato che fornisce passaggi di mitigazione pertinenti. 

Per rilevare possibili attività dannose e proteggere la tua infrastruttura organizzativa, i clienti di SOC Prime possono scaricare un set delle ultime regole di rilevamento pubblicate nel Threat Detection Marketplace. Tutto il contenuto è direttamente mappato al framework MITRE ATT&CK® e contiene i riferimenti e le descrizioni corrispondenti:

Iscriviti al Theat Detection Marketplace gratuitamente per potenziare le tue capacità di difesa informatica. La nostra libreria di contenuti SOC contiene oltre 100K regole di rilevamento e risposta, parser, query di ricerca e altri contenuti soc pertinenti in modo da poter resistere al crescente numero di attacchi informatici. Tenendo d’occhio le ultime tendenze in materia di cybersecurity e desideri partecipare ad attività di caccia alle minacce? Approfitta dell’occasione per contribuire alla sicurezza mondiale iscrivendoti al nostro Threat Bounty Program.

Vai alla Piattaforma Partecipa al Threat Bounty

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta 3 min di lettura Piattaforma SOC Prime Prompt AI Personalizzati in Uncoder AI Consentono la Generazione di Rilevamenti su Richiesta by Steven Edwards Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 4 min di lettura Ultime Minacce Rilevamento delle Attività del Gruppo XE: Dal Skimming delle Carte di Credito allo Sfruttamento delle Vulnerabilità Zero-Day VeraCore CVE-2024-57968 e CVE-2025-25181 by Veronika Telychko Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine 6 min di lettura Ultime Minacce Rilevamento CVE-2025-0411: Gruppi di criminali informatici russi sfruttano una vulnerabilità Zero-Day in 7-Zip per attaccare organizzazioni ucraine by Veronika Telychko
Tutte le notizie