刚刚,微软指出某 PDF 软件厂商遭供应链攻击

聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

刚刚,微软指出黑客攻陷了某PDF编辑器app安装的一个字体包并借此在用户计算机上部署密币挖掘机。

微软通过 Windows Defender 杀毒软件商用版 Windows Defender ATP 收到警报信息后发现了这一事件。微软表示调查后认为黑客攻陷了某软件公司的云服务器基础设施,而该公司以 MSI 文件形式提供字体包,这些 MSI 文件也提供给了其它软件公司。

其中一个下游公司将这些字体包用于其 PDF 编辑器 app,供编辑器在安装过程中从原始公司的云服务器中下载这些 MSI 文件。

黑客创建云服务器副本

微软安全研究员表示,“攻击者在受控制的副本服务器上重新创建了第一家公司的基础设施。他们在这台副本服务器上复制并托管所有的 MSI 文件,包括所有清洁的并被数字签名的字体包。”

下载并运行 PDF 编辑器 app 的用户将无知不觉地安装来自黑客克隆服务器中的字体包,包括恶意字体包。

发生在供应链内的供应链攻击

由于 PDF 编辑器 app 被以系统权限安装,因此隐藏在其中的恶意密币挖矿代码将能够完全访问用户系统。

这个恶意挖矿机将创建名为 “xbox-service.exe” 的进程,利用受害者计算机挖掘密币。

微软表示,Windows Defender ATP 在这个进程中检测到了挖矿行为。调查人员随后追踪发现该进程源于 PDF 编辑器 app 安装器和 MSI 字体包。

安全研究人员指出,从 MSI 字体包中识别出恶意字体包比较容易,因为所有其它 MSI 文件均由原始的软件公司所签名,除了某个文件外。犯罪分子将挖矿代码注入其中后,该文件失去真实性。

这个恶意挖矿机的特别之处还在于,它试图在为多款安全 app 渗透更新操作时修改 Windows 主机文件。但这种行为是大忌,因为多数杀毒软件将该行为标记为可疑或恶意行为。

微软并未披露这两家软件公司的名称。微软表示,攻击从2018年1月持续至3月,而且仅影响了少量用户,说明这两家企业并非 PDF 软件市场上的大玩家。

https://www.bleepingcomputer.com/news/security/microsoft-discovers-supply-chain-attack-at-unnamed-maker-of-pdf-software/

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20180727B0QM9T00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券