ถือเป็นอีกตัวอย่างหนึ่งของการโจมตีผ่านซัพพลายเชนซอฟต์แวร์ เมื่อแฮ็กเกอร์ที่ยังไม่ทราบตัวตนได้เจาะเข้าเว็บไซต์ MonPass ซึ่งเป็นหนึ่งในหน่วยงานออกใบประกาศรับรองดิจิตอลรายใหญ่ของมองโกเลีย เพื่อเจาะประตูหลังในซอฟต์แวร์สำหรับใส่โค้ด Cobalt Strike
โดยทางบริษัทด้านความปลอดภัยทางไซเบอร์ชื่อดังของสาธารณเช็ก Avast ได้ออกรายงานเมื่อสัปดาห์ก่อนว่า โปรแกรมไคลเอนต์ที่กลายเป็นโทรจันนี้ได้ถูกเปิดให้ดาวน์โหลดตั้งแต่ช่วงวันที่ 8 กุมภาพันธ์ ไปจนถึง 3 มีนาคมปีนี้
นอกจากนี้ ยังพบด้วยว่าเว็บเซิร์ฟเวอร์สาธารณะที่โฮสต์โดย MonPass ก็โดนแฮ็กไปแล้วมากถึง 8 ครั้งที่ไม่ได้มีความสัมพันธ์ระหว่างกัน หลังนักวิจัยค้นพบเว็บเชลล์และประตูหลังที่แตกต่างกันถึง 8 รายการบนเซิร์ฟเวอร์ที่โดนเล่นงานดังกล่าว
การสืบสวนของ Avast เกิดขึ้นหลังจากค้นพบตัวติดตั้งที่เป็นไวรัสประตูหลัง ที่ไปติดเชื้อบนระบบของลูกค้าตัวเองรายหนึ่ง ตัวติดตั้งนี้เป็นไฟล์ Executable แบบ Portable ที่ไม่ได้มีการลงทะเบียนไว้ มาจากการดาวน์โหลดตัวติดตั้งเวอร์ชั่นที่ถูกต้องจากเว็บไซต์ MonPass ทางการ
ที่มา : THN