信息來源：騰訊網(wǎng)

近日，韓國掀起了一場新型的供應(yīng)鏈黑客攻擊，該攻擊濫用合法的安全軟件和被盜的數(shù)字證書，以在目標(biāo)系統(tǒng)上分發(fā)遠(yuǎn)程管理工具（RAT）。

該攻擊雖然范圍有限，但卻利用了WIZVERA VeraPort，它被稱為“旨在集成和管理與網(wǎng)上銀行相關(guān)的安裝程序的程序”，例如銀行為個(gè)人和企業(yè)發(fā)行的數(shù)字證書，以確保所有交易和流程的安全。

除了使用上述安裝安全軟件的技術(shù)從合法但受到破壞的網(wǎng)站上分發(fā)惡意軟件外，攻擊者還使用非法獲得的代碼簽名證書來簽署惡意軟件樣本，其中一個(gè)已頒發(fā)給美國的分支機(jī)構(gòu)。國際知名白帽黑客、東方聯(lián)盟創(chuàng)始人郭盛華透露：“攻擊者將Lazarus惡意軟件樣本偽裝成合法軟件。這些樣本具有與合法韓國軟件相似的文件名，圖標(biāo)和資源。這是受到攻擊的網(wǎng)站與WIZVERA VeraPort支持以及允許攻擊者執(zhí)行此攻擊的特定VeraPort配置選項(xiàng)的結(jié)合?！?

東方聯(lián)盟研究人員表示，攻擊針對(duì)使用VeraPort的網(wǎng)站，該網(wǎng)站還附帶了base64編碼的XML配置文件，其中包含要安裝的軟件列表，攻擊者通過破壞性能來替代將交付給VeraPort用戶的軟件一個(gè)帶有惡意二進(jìn)制文件的合法網(wǎng)站，然后使用非法獲取的代碼簽名證書對(duì)其進(jìn)行簽名以交付有效負(fù)載。

研究人員指出：“ WIZVERA VeraPort配置包含一個(gè)選項(xiàng)，可以在執(zhí)行之前對(duì)下載的二進(jìn)制文件進(jìn)行數(shù)字簽名驗(yàn)證，并且在大多數(shù)情況下，默認(rèn)情況下啟用此選項(xiàng)。但是，VeraPort只驗(yàn)證數(shù)字簽名是有效的，而不檢查它屬于誰?！?

然后，二進(jìn)制文件繼續(xù)下載惡意軟件刪除程序，該程序提取另外兩個(gè)組件，加載程序和下載程序，后者由加載程序注入到Windows進(jìn)程之一（“ svchost.exe”）中。由下載程序獲取的最后階段有效負(fù)載采用RAT的形式，該RAT配有命令，該命令使惡意軟件可以在受害者的文件系統(tǒng)上執(zhí)行操作，并從攻擊者的武器庫中下載并執(zhí)行輔助工具。

此外，該活動(dòng)似乎是今年4月初由韓國互聯(lián)網(wǎng)與安全局（Korea Internet＆Security Agency）詳細(xì)介紹的另一種稱為Lazarus的，名為Operation BookCodes的攻擊的延續(xù)，該攻擊在TTP和命令與控制（C2）基礎(chǔ)結(jié)構(gòu)上存在重大重疊。

研究人員總結(jié)說：“黑客攻擊者對(duì)供應(yīng)鏈特別感興趣，因?yàn)楣粽呖梢允顾麄兺瑫r(shí)秘密地在多臺(tái)計(jì)算機(jī)上部署惡意軟件。”