近日,韩国掀起了一场新型的供应链黑客攻击,该攻击滥用合法的安全软件和被盗的数字证书,以在目标系统上分发远程管理工具(RAT)。
该攻击虽然范围有限,但却利用了WIZVERA VeraPort,它被称为“旨在集成和管理与网上银行相关的安装程序的程序”,例如银行为个人和企业发行的数字证书,以确保所有交易和流程的安全。
除了使用上述安装安全软件的技术从合法但受到破坏的网站上分发恶意软件外,攻击者还使用非法获得的代码签名证书来签署恶意软件样本,其中一个已颁发给美国的分支机构。国际知名白帽黑客、东方联盟创始人郭盛华透露:“攻击者将Lazarus恶意软件样本伪装成合法软件。这些样本具有与合法韩国软件相似的文件名,图标和资源。这是受到攻击的网站与WIZVERA VeraPort支持以及允许攻击者执行此攻击的特定VeraPort配置选项的结合。”
东方联盟研究人员表示,攻击针对使用VeraPort的网站,该网站还附带了base64编码的XML配置文件,其中包含要安装的软件列表,攻击者通过破坏性能来替代将交付给VeraPort用户的软件一个带有恶意二进制文件的合法网站,然后使用非法获取的代码签名证书对其进行签名以交付有效负载。
研究人员指出:“ WIZVERA VeraPort配置包含一个选项,可以在执行之前对下载的二进制文件进行数字签名验证,并且在大多数情况下,默认情况下启用此选项。但是,VeraPort只验证数字签名是有效的,而不检查它属于谁。”
然后,二进制文件继续下载恶意软件删除程序,该程序提取另外两个组件,加载程序和下载程序,后者由加载程序注入到Windows进程之一(“ svchost.exe”)中。由下载程序获取的最后阶段有效负载采用RAT的形式,该RAT配有命令,该命令使恶意软件可以在受害者的文件系统上执行操作,并从攻击者的武器库中下载并执行辅助工具。
此外,该活动似乎是今年4月初由韩国互联网与安全局(Korea Internet&Security Agency)详细介绍的另一种称为Lazarus的,名为Operation BookCodes的攻击的延续,该攻击在TTP和命令与控制(C2)基础结构上存在重大重叠。
研究人员总结说:“黑客攻击者对供应链特别感兴趣,因为攻击者可以使他们同时秘密地在多台计算机上部署恶意软件。” (欢迎转载分享)
网友评论