信息來源:騰訊網(wǎng)
近日,韓國掀起了一場(chǎng)新型的供應(yīng)鏈黑客攻擊,該攻擊濫用合法的安全軟件和被盜的數(shù)字證書,以在目標(biāo)系統(tǒng)上分發(fā)遠(yuǎn)程管理工具(RAT)。
該攻擊雖然范圍有限,但卻利用了WIZVERA VeraPort,它被稱為“旨在集成和管理與網(wǎng)上銀行相關(guān)的安裝程序的程序”,例如銀行為個(gè)人和企業(yè)發(fā)行的數(shù)字證書,以確保所有交易和流程的安全。
除了使用上述安裝安全軟件的技術(shù)從合法但受到破壞的網(wǎng)站上分發(fā)惡意軟件外,攻擊者還使用非法獲得的代碼簽名證書來簽署惡意軟件樣本,其中一個(gè)已頒發(fā)給美國的分支機(jī)構(gòu)。國際知名白帽黑客、東方聯(lián)盟創(chuàng)始人郭盛華透露:“攻擊者將Lazarus惡意軟件樣本偽裝成合法軟件。這些樣本具有與合法韓國軟件相似的文件名,圖標(biāo)和資源。這是受到攻擊的網(wǎng)站與WIZVERA VeraPort支持以及允許攻擊者執(zhí)行此攻擊的特定VeraPort配置選項(xiàng)的結(jié)合?!?
東方聯(lián)盟研究人員表示,攻擊針對(duì)使用VeraPort的網(wǎng)站,該網(wǎng)站還附帶了base64編碼的XML配置文件,其中包含要安裝的軟件列表,攻擊者通過破壞性能來替代將交付給VeraPort用戶的軟件一個(gè)帶有惡意二進(jìn)制文件的合法網(wǎng)站,然后使用非法獲取的代碼簽名證書對(duì)其進(jìn)行簽名以交付有效負(fù)載。
研究人員指出:“ WIZVERA VeraPort配置包含一個(gè)選項(xiàng),可以在執(zhí)行之前對(duì)下載的二進(jìn)制文件進(jìn)行數(shù)字簽名驗(yàn)證,并且在大多數(shù)情況下,默認(rèn)情況下啟用此選項(xiàng)。但是,VeraPort只驗(yàn)證數(shù)字簽名是有效的,而不檢查它屬于誰?!?
然后,二進(jìn)制文件繼續(xù)下載惡意軟件刪除程序,該程序提取另外兩個(gè)組件,加載程序和下載程序,后者由加載程序注入到Windows進(jìn)程之一(“ svchost.exe”)中。由下載程序獲取的最后階段有效負(fù)載采用RAT的形式,該RAT配有命令,該命令使惡意軟件可以在受害者的文件系統(tǒng)上執(zhí)行操作,并從攻擊者的武器庫中下載并執(zhí)行輔助工具。
此外,該活動(dòng)似乎是今年4月初由韓國互聯(lián)網(wǎng)與安全局(Korea Internet&Security Agency)詳細(xì)介紹的另一種稱為Lazarus的,名為Operation BookCodes的攻擊的延續(xù),該攻擊在TTP和命令與控制(C2)基礎(chǔ)結(jié)構(gòu)上存在重大重疊。
研究人員總結(jié)說:“黑客攻擊者對(duì)供應(yīng)鏈特別感興趣,因?yàn)楣粽呖梢允顾麄兺瑫r(shí)秘密地在多臺(tái)計(jì)算機(jī)上部署惡意軟件?!?