DigiCert : émission frauduleuse de certificats EV Code Signing via compromission d'endpoints support

🔍 Contexte

Rapport d’incident publié sur Bugzilla Mozilla (bug #2033170) par DigiCert, daté du 2026-04-02 au 2026-04-17. L’incident a été initialement signalé par un tiers et a conduit à la révocation de 60 certificats EV Code Signing.

🎯 Vecteur d’attaque initial

L’acteur malveillant a contacté l’équipe support de DigiCert via un canal de chat client Salesforce et a livré un fichier ZIP malveillant déguisé en capture d’écran client. Ce fichier contenait un exécutable .scr avec une charge utile malveillante.

• Quatre tentatives bloquées par CrowdStrike sur ENDPOINT1
• Une cinquième tentative a compromis ENDPOINT1 (~23h45 le 2026-04-02)
• ENDPOINT2 compromis le 2026-04-04 via le même vecteur, sans détection (absence/défaillance du capteur CrowdStrike)

🛠️ Exploitation

L’acteur a utilisé les comptes d’analystes compromis pour accéder au portail support interne de DigiCert via une fonction de session proxy (impersonation de compte client). Cette fonction exposait les codes d’initialisation des commandes EV Code Signing approuvées mais non livrées.

La possession d’un code d’initialisation combinée à une commande approuvée est suffisante pour obtenir le certificat correspondant. L’acteur a ainsi obtenu des certificats EV Code Signing auprès de plusieurs CA :

• DigiCert Trusted G4 Code Signing RSA4096 SHA256 2021 CA1
• DigiCert Trusted G4 Code Signing RSA4096 SHA384 2021 CA1
• GoGetSSL G4 CS RSA4096 SHA256 2022 CA-1
• Verokey High Assurance Secure Code EV

📊 Impact

• 60 certificats révoqués au total
• 27 explicitement liés à l’acteur malveillant (11 signalés par la communauté, 16 identifiés en interne)
• 33 révoqués par précaution (contrôle client non confirmable)
• Les certificats exploités ont été utilisés pour signer la famille de malware Zhong Stealer
• Adresses IP utilisées par l’acteur : 82.23.186.8, 154.12.185.32, 45.144.227.12, 203.160.68.2, 154.12.185.30, 62.197.153.45, 45.144.227.29

⚙️ Facteurs contributifs

1. Couverture EDR incomplète : capteur CrowdStrike absent/dégradé sur ENDPOINT2
2. Absence de masquage des codes d’initialisation dans les sessions proxy du portail support
3. Codes d’initialisation non classifiés comme credentials (traités comme données intermédiaires)
4. Canal de chat trop permissif : pas de restriction sur les types de fichiers entrants, pas de sandboxing
5. Okta FastPass utilisé comme bypass MFA : l’acteur a hérité de la session authentifiée du device compromis

📅 Chronologie clé

• 2026-04-02 : Première compromission (ENDPOINT1)
• 2026-04-04 : Compromission ENDPOINT2 (non détectée)
• 2026-04-05 au 2026-04-14 : Rapports tiers successifs de certificats liés à des malwares
• 2026-04-14 : Identification de l’étendue réelle de l’incident, début des révocations massives
• 2026-04-17 : Dernier certificat révoqué

📋 Type d’article

Post-mortem détaillé (rapport d’incident complet) publié par DigiCert sur Bugzilla Mozilla dans le cadre de la conformité aux programmes root des navigateurs. But : transparence réglementaire et documentation technique de l’incident pour les autorités de certification.

🧠 TTPs et IOCs détectés

TTP

• T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
• T1204.002 — User Execution: Malicious File (Execution)
• T1078 — Valid Accounts (Defense Evasion)
• T1539 — Steal Web Session Cookie (Credential Access)
• T1550.004 — Use Alternate Authentication Material: Web Session Cookie (Lateral Movement)
• T1555 — Credentials from Password Stores (Credential Access)
• T1553.002 — Subvert Trust Controls: Code Signing (Defense Evasion)
• T1036.002 — Masquerading: Right-to-Left Override (Defense Evasion)
• T1562.001 — Impair Defenses: Disable or Modify Tools (Defense Evasion)

IOC

• IPv4 : 82.23.186.8 — AbuseIPDB · VT · ThreatFox
• IPv4 : 154.12.185.32 — AbuseIPDB · VT · ThreatFox
• IPv4 : 45.144.227.12 — AbuseIPDB · VT · ThreatFox
• IPv4 : 203.160.68.2 — AbuseIPDB · VT · ThreatFox
• IPv4 : 154.12.185.30 — AbuseIPDB · VT · ThreatFox
• IPv4 : 62.197.153.45 — AbuseIPDB · VT · ThreatFox
• IPv4 : 45.144.227.29 — AbuseIPDB · VT · ThreatFox
• SHA1 : 03A4E330B16DED8C61AD0FB23ECB2E1A — VT · MalwareBazaar
• SHA1 : 02ED93FDB6CFB33A477E218531F32922 — VT · MalwareBazaar
• SHA1 : 01AF6469365C81AD7222E60FB1317062 — VT · MalwareBazaar
• SHA1 : 0CAE428F1BDCBEBAF284EEE9A643B1D8 — VT · MalwareBazaar
• SHA1 : 0AE04FFA7B23CC3F7395B25F41255157 — VT · MalwareBazaar
• SHA1 : 049209454DB22190C7697285C3D5AD9B — VT · MalwareBazaar
• SHA1 : 0AF316CB4E5D9BAF35B35E85677B17EE — VT · MalwareBazaar
• SHA1 : 09186DCA3667374ADBD63A2F4FD96365 — VT · MalwareBazaar
• SHA1 : 0B416CA38FFA8579C017C0311CCD8D8A — VT · MalwareBazaar
• SHA1 : 0654CDA3DEFAF29DC152EF189C11E337 — VT · MalwareBazaar
• Fichiers : k3.exe
• Fichiers : updat.exe
• Fichiers : uuu.exe
• Fichiers : VideoManager.exe

Malware / Outils

• Zhong Stealer (stealer)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

• ⬜ bugzilla.mozilla.org — source non référencée (0pts)
• ✅ 28999 chars — texte complet (fulltext extrait) (15pts)
• ✅ 21 IOCs dont des hashes (15pts)
• ⬜ 0/3 IOCs confirmés externellement (0pts)
• ✅ 9 TTPs MITRE identifiées (15pts)
• ✅ date extraite du HTML source (10pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://bugzilla.mozilla.org/show_bug.cgi?id=2033170