安全研究人员发现了针对韩国组织的新供应链攻击。攻击者们根据感兴趣的群体的IP范围选择性地针对受害者。
7月底,研究人员的雷达上出现了Red Signature行动。为了在不触发警报的情况下渗透受害者的系统,攻击者们使用远程支持解决方案提供商的更新服务器。
在今天的博客文章中,TrendMicro的网络安全解决方案团队表示,受感染的服务器用于提供受到9002 RAT远程访问工具污染的更新。
恶意行为者确保软件的受损版本不会传播到不感兴趣的实体。为此,他们将更新服务器设置为仅在其目标位于特定IP地址范围内时发送受感染文件。
为避免检测,恶意更新使用从远程解决方案提供商窃取的有效证书进行签名。目前还不清楚这种情况何时发生,但研究人员表示,他们在4月8日发现了一块隐藏在相同被盗证书下的恶意软件。
使用签名的恶意软件并访问更新服务器,所有黑客必须做的是等待客户端请求软件更新。
如果呼叫来自目标IP范围,则攻击者向更新服务器发送打包为“update.zip”的恶意文件。执行更新时,内部的9002 RAT也是如此。
“9002 RAT还安装了其他恶意工具:Internet信息服务(IIS)6 WebDav(利用CVE-2017-7269)和SQL数据库密码转储器的漏洞利用工具。这些工具暗示了攻击者在数据存储在目标网络服务器和数据库之后的情况,“TrendMicro说。
据研究人员称,9002 RAT的目的是收集信息 - 一种典型的早期活动。它是在7月17日编译的,并且从第二天开始一直活跃到7月31日。恶意软件处理程序使它在8月份变为非活动状态。
在ShadowPad攻击中使用了相同的方法,该方法在金融机构的服务器管理软件产品中植入了木马。
最近发生的事件是感染了CCleaner实用程序,感染了200多万台机器。
与Operation Red Signature一样,ShadowPad和CCleaner攻击都依赖有效的证书来签署分发给受害者的软件的受损版本。这使得攻击者能够长时间处于雷达之下并准备新的攻击阶段。
供应链攻击很难被发现和预防,因为恶意软件来自被认为值得信赖的外部来源。然而,恶意软件有时比直接在目标之后更容易实现,目标可能具有强大的防御能力。
领取专属 10元无门槛券
私享最新 技术干货