曲速未来：韩国企业遭受供应链攻击活动分析

曲速未来 表示：威胁参与者破坏了远程支持解决方案提供商的更新服务器，以通过更新过程向其感兴趣的目标提供名为9002 RAT的远程访问工具。他们首先窃取了公司的证书，然后用它来签署恶意软件。

前情回顾

前几天，已报道有安全研究人员发现了Operation Red Signature，这是针对韩国企业的信息窃取驱动的供应链攻击。研究者在7月底发现了这些袭击事件后，而媒体则报道了8月6日在韩国发生的袭击事件。

区块链安全咨询公司曲速未来表示：威胁参与者破坏了远程支持解决方案提供商的更新服务器，以通过更新过程向其感兴趣的目标提供名为9002 RAT的远程访问工具。他们首先窃取了公司的证书，然后用它来签署恶意软件。如果客户端位于其目标组织的IP地址范围内，他们还将更新服务器配置来传送恶意文件。

9002 RAT还安装了其他恶意工具：Internet信息服务（IIS）6 WebDav（利用CVE-2017-7269）和一个SQL数据库密码清除器。这些工具暗示了攻击者如何将数据存储在目标的Web服务器和数据库中。

图1.Red Signature的攻击链操作

以下是Operation Red Signature的工作原理：

来自远程支持解决方案提供商的代码签名证书被盗。早在2018年4月，证书就有可能被盗，因为在4月8日就发现了一个与被盗证书签署的ShiftDoor恶意软件（4ae4aed210f2b4f75bdb855f6a5c11e625d56de2）。

准备好恶意更新文件，使用被盗证书签名，并上传到攻击者的服务器(207[.]148[.]94[.]157)。

该公司的更新服务器遭到入侵。

如果更新服务器配置为客户端从属于其目标组织的特定IP地址范围连接，则从攻击者的服务器接收压缩文件。

执行远程支持程序时，恶意更新压缩文件将发送到客户端。

远程支持程序将文件识别为正常，并在其中执行9002 RAT恶意软件。

9002 RAT从攻击者的服务器下载并执行其他恶意文件。

详细分析

update.zip文件包含 update.ini文件，里面有指定的远程支持解决方案程序下载非法的更新配置 file000.zip和 file001.zip并提取它们作为 rcview40u.dll和 rcview.log到安装夹。

然后，程序将使用Microsoft注册服务器（regsvr32.exe）执行使用被盗证书签名的rcview40u.dll 。此动态链接库（DLL）负责解密加密的rcview.log文件并在内存中执行它。9002 RAT是解密的rcview.log有效负载，它连接到 66[.]42[.]37[.]101的命令和控制（C＆C）服务器。

图2. 恶意更新配置文件的内容

图3. 被黑的更新进程启动9002 RAT的过程

图4. 解密的rcview.log文件的payload中的9002 RAT字符串模式

9002 RAT

研究人员分析9002 RAT发现是RAT文件2018年7月编译的，update.zip文件中的配置文件是7月18日创建的。分析更新日志文件发现远程支持程序的更新进程是7月18日启动的，9002 RAT也是这个时间下载和执行的。

研究人员还发现特定攻击中使用的RAT文件在8月被设为不活动状态，所以RAT的活动日期是非常短暂的（7月18日-7月 31日）。

图5.9002 RAT样本编译时间戳

图6.恶意配置文件时间戳

图7.程序更新日志截图

图8.9002 RAT检查系统时间并设定在2018年8月休眠的代码段

其他的恶意工具

9002 RAT还作为传播其他恶意软件的跳板。大多数的恶意软件都是以.cab压缩文件格式下载的。这也是绕过反病毒软件检测的一种方法。

图9.9002 RAT提取和传播的文件列表

图10.下载的Web.ex_ cabinet文件（左）和解压的Web.exe文件（右）

其中下载一个文件printdat.dll就是一个RAT，是PlugX恶意软件的变种，会连接到相同的C2服务器（66[.]42[.]37[.]101）。

图11.printdat.dll文件中的内部PlugX date dword值

该缓解供应链攻击

供应链攻击不仅影响用户和企业，还会利用供应商与客户或客户之间的信任。通过木马程序应用程序或操纵运行它们的基础设施或平台，供应链攻击会影响组织提供的产品和服务的完整性和安全性。例如，在医疗保健行业，该行业高度依赖第三方和基于云的服务，供应链攻击可能危及个人身份数据和知识产权的隐私，扰乱医院运营，甚至危及患者健康。而当GDPR等法规堆积如山时，影响可能会加剧。

参考措施

区块链安全咨询公司曲速未来建议：监督第三方产品和服务：除了确保组织自己的在线场所的安全性（例如，补丁修复，身份认证机制）之外，还必须在使用的第三方应用程序中设置安全控制。

制定主动的事件响应策略：供应链攻击通常是有针对性的，组织必须能够完全理解、管理和监控第三方供应商所涉及的风险。

执行最小特权原则：网络分割、数据分类、系统管理工具的限制和应用程序控制有助于阻止横向移动和最小化数据暴露。

主动监控网络异常活动：防火墙、入侵检测和防御系统有助于缓解基于网络的威胁。