行業(yè)動(dòng)態(tài)

黑客危機(jī)!韓國(guó)掀起了一場(chǎng)新型的供應(yīng)鏈網(wǎng)絡(luò)攻擊

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-11-18    瀏覽次數(shù):
 

信息來(lái)源:騰訊網(wǎng)


近日,韓國(guó)掀起了一場(chǎng)新型的供應(yīng)鏈黑客攻擊,該攻擊濫用合法的安全軟件和被盜的數(shù)字證書(shū),以在目標(biāo)系統(tǒng)上分發(fā)遠(yuǎn)程管理工具(RAT)。

該攻擊雖然范圍有限,但卻利用了WIZVERA VeraPort,它被稱(chēng)為“旨在集成和管理與網(wǎng)上銀行相關(guān)的安裝程序的程序”,例如銀行為個(gè)人和企業(yè)發(fā)行的數(shù)字證書(shū),以確保所有交易和流程的安全。

除了使用上述安裝安全軟件的技術(shù)從合法但受到破壞的網(wǎng)站上分發(fā)惡意軟件外,攻擊者還使用非法獲得的代碼簽名證書(shū)來(lái)簽署惡意軟件樣本,其中一個(gè)已頒發(fā)給美國(guó)的分支機(jī)構(gòu)。國(guó)際知名白帽黑客、東方聯(lián)盟創(chuàng)始人郭盛華透露:“攻擊者將Lazarus惡意軟件樣本偽裝成合法軟件。這些樣本具有與合法韓國(guó)軟件相似的文件名,圖標(biāo)和資源。這是受到攻擊的網(wǎng)站與WIZVERA VeraPort支持以及允許攻擊者執(zhí)行此攻擊的特定VeraPort配置選項(xiàng)的結(jié)合。”

東方聯(lián)盟研究人員表示,攻擊針對(duì)使用VeraPort的網(wǎng)站,該網(wǎng)站還附帶了base64編碼的XML配置文件,其中包含要安裝的軟件列表,攻擊者通過(guò)破壞性能來(lái)替代將交付給VeraPort用戶(hù)的軟件一個(gè)帶有惡意二進(jìn)制文件的合法網(wǎng)站,然后使用非法獲取的代碼簽名證書(shū)對(duì)其進(jìn)行簽名以交付有效負(fù)載。

研究人員指出:“ WIZVERA VeraPort配置包含一個(gè)選項(xiàng),可以在執(zhí)行之前對(duì)下載的二進(jìn)制文件進(jìn)行數(shù)字簽名驗(yàn)證,并且在大多數(shù)情況下,默認(rèn)情況下啟用此選項(xiàng)。但是,VeraPort只驗(yàn)證數(shù)字簽名是有效的,而不檢查它屬于誰(shuí)?!?

然后,二進(jìn)制文件繼續(xù)下載惡意軟件刪除程序,該程序提取另外兩個(gè)組件,加載程序和下載程序,后者由加載程序注入到Windows進(jìn)程之一(“ svchost.exe”)中。由下載程序獲取的最后階段有效負(fù)載采用RAT的形式,該RAT配有命令,該命令使惡意軟件可以在受害者的文件系統(tǒng)上執(zhí)行操作,并從攻擊者的武器庫(kù)中下載并執(zhí)行輔助工具。

此外,該活動(dòng)似乎是今年4月初由韓國(guó)互聯(lián)網(wǎng)與安全局(Korea Internet&Security Agency)詳細(xì)介紹的另一種稱(chēng)為L(zhǎng)azarus的,名為Operation BookCodes的攻擊的延續(xù),該攻擊在TTP和命令與控制(C2)基礎(chǔ)結(jié)構(gòu)上存在重大重疊。

研究人員總結(jié)說(shuō):“黑客攻擊者對(duì)供應(yīng)鏈特別感興趣,因?yàn)楣粽呖梢允顾麄兺瑫r(shí)秘密地在多臺(tái)計(jì)算機(jī)上部署惡意軟件?!?


 
 

上一篇:聚銘星 贏未來(lái)!聚銘網(wǎng)絡(luò)首期“銘星人才”發(fā)展計(jì)劃正式啟動(dòng)

下一篇:圓通多位“內(nèi)鬼”有償租借員工賬號(hào) 40萬(wàn)條公民個(gè)人信息被泄露