微软在未命名的PDF软件制造商中的供应链遭到攻击

微软今天表示,黑客破坏了PDF编辑器应用程序安装的字体包,并用它在用户的计算机上部署加密货币木马。

操作系统制造商在其工作人员通过Windows Defender ATP(Windows Defender杀毒软件的商业版)收到警报后发现了这一事件。

微软员工称他们调查了这些警报,并确定黑客入侵了作为MSI文件的软件公司提供字体包的云服务器基础设施。这些MSI文件提供给其他软件公司。

其中一家下游公司正在将这些字体包用于其PDF编辑器应用程序,该应用程序将在编辑器的安装例程中从原始公司的云服务器下载MSI文件。

黑客创建了该公司云服务器的副本

“其他攻击者在入侵者拥有和控制的副本服务器上重建了[第一家公司]的基础设施。他们复制并托管所有MSI文件,包括在副本服务器中

所有清洁和数字签名的字体包。”微软的安全研究人员说。

“攻击者反编译并修改了一个MSI文件,一个亚洲字体包,用于木马挖掘代码并添加恶意有效载荷,”他们补充说。

“使用未指定的漏洞(似乎不是MITM或DNS劫持),攻击者能够影响[PDF编辑器]应用程序使用的下载参数。参数包括指向攻击者服务器的新下载链接, “微软说。

下载并运行PDF编辑器应用程序的用户将无意中从黑客的克隆服务器安装字体软件包,包括恶意软件包。

供应链中的供应链攻击

由于PDF编辑器应用程序是在SYSTEM权限下安装的,因此隐藏在其中的恶意木马代码将获得对用户系统的完全访问权限。

恶意木马将创建名为xbox-service.exe的进程,根据该进程,它将使用受害者的计算机挖掘加密信息。

微软称Windows Defender ATP在此过程中检测到特定于代码的行为。然后,调查人员将此过程的起源跟踪到PDF编辑器应用程序安装程序和MSI字体包。

安全研究人员表示很容易识别哪个MSI字体包是恶意的,因为所有其他MSI文件都是由原始软件公司签署的,除了一个文件,即当黑客注入其中的coinminer代码时,该文件就失去了真实性。

这个恶意代码也对调查人员展示了它的能力,因为它也试图修改Windows主机文件,他们试图对各种安全应用程序进行更新操作。但修改Windows主机文件是一个很大的禁忌,大多数防病毒软件会将此操作标记为可疑或恶意行为。

微软没有透露参与此事件的两家软件公司的名称。操作系统制造商表示,情况持续到2018年1月至3月,并且只影响了少数用户,这表明黑客公司并不是PDF软件市场的大牌。

  • 发表于:
  • 原文链接:https://www.bleepingcomputer.com/news/security/microsoft-discovers-supply-chain-attack-at-unnamed-maker-of-pdf-software/

扫码关注云+社区

领取腾讯云代金券