快捷搜索:  as  test  创意文化园  陈先生  5.7聚众斗殴  龙袍  云南信托  2327

usdt钱包支付(www.caibao.it):ESET的研究人员发现了一起针对越南政府认证机构的供应链攻击行动

ESET的研究人员发现了一起针对越南政府网站的供应链攻击,就在Able Desktop软件遭受供应链攻击的几周后,越南政府认证机构(VGCA)的网站ca.gov.vn又发生了一起类似的攻击。攻击者修改了该网站上可供下载的两个安装程序,并添加了一个后门,以攻击正当应用程序的用户。

ESET的研究人员在2020年12月初发现了这种新的供应链攻击,并通知了受攻击的组织和VNCERT。研究人员以为,停止2020年8月尾,该网站并没有提供受攻击的软件安装程序,ESET的追踪研究数据也并没有解释受攻击的安装程序已流传到其他任何地方。越南政府认证机构也认可,他们在ESET通知之前就检测到了这次攻击,并通知了下载木马软件的用户。

越南的供应链攻击

在越南,数字署名异常普遍,由于数字署名的文档具有与“湿”署名相同的可执行性。凭据第130/2018号法律,用于签署文件的加密证书必须由包罗VGCA在内的授权证书提供商之一授予,VGCA是政府密码委员会的一部分,该委员会又归属新闻和通讯部。

除了发表证书,VGCA还开发和公布了数字署名工具包。越南政府用它来签署数字文件,很可能私人公司也用它。对于APT小组来说,认证机构网站的攻击是一个很好的机遇,由于访问者可能会对卖力数字署名的国家组织高度信托。

如图1所示,这些程序似乎部署在党和国家机构中。

ca.gov.vn的屏幕截图

凭据ESET的剖析,至少从2020年7月23日到2020年8月16日,ca.gov.vn就已经受到攻击。有两个安装程序可以下载,gca01-client-v2-x32-8.3.msi和gca01-client- v2-x64-8.3.msi被修改为包罗了一个名为PhantomNet或SManager的恶意软件,NTT Security最近对该软件举行了剖析。现在ESET能够确认这些安装程序是通过HTTPS协议从ca.gov.vn下载的,以是研究人员以为这不太可能是中间人攻击。指向恶意安装程序的URL为:

来自VirusTotal的数据也证实了这一点,如图2所示。

VirusTotal截图,它显示了木马安装程序下载URL的位置

木马安装程序没有准确署名,然则我们注意到清洁的GCA安装程序也没有准确署名(该工具的数字署名未验证),官方和木马MSI都使用分配给Safenet公司的证书。

图3是供应链攻击的摘要,要想被破解,用户必须手动下载并执行官方网站上的破解软件。

供应链攻击的简化方案

下载并执行后,安装程序将启动正版GCA程序和恶意文件。恶意文件被写入C: Program Files VGCA Authentication SAC x32 eToken.exe。通过安装正当程序,攻击者可以确保最终用户不会容易注意到这种攻击。

这个恶意文件是一个简朴的dropper ,它提取名为7z.cab的Windows cabinet文件(.cab),其中包罗后门。

,

电银付

电银付(9cx.net)是官方网上推广平台。在线自动销售电银付激活码、电银付POS机。提供电银付安装教程、电银付使用教程、电银付APP使用教程、电银付APP安装教程、电银付APP下载等技术支持。面对全国推广电银付加盟、电银付大盟主、电银付小盟主业务。

,

若是dropper作为管理员运行,则后门将被写入c: windows appatch netapi32.dll,而且为了持久性攻击,dropper将恶意DLL注册为服务

若是以普通用户身份运行,则后门将写入%TEMP% Wmedia < GetTickCount >.tmp对于持久化,滴管程序建立一个挪用导出的计划任务。肠恶意DLL的。有趣的是,注意到肠导出也出现在TA 428使用的TManger版本中,详见NTT平安。

PhantomNet

后门由其开发人员命名为Smanager_ssl.DLL,但研究人员使用的是PhantomNet,由于这是该后门的较旧版本中使用的项目名称。最新版本是在2020年4月26日,即在供应链攻击发生快要两个月之前编译的。除越南外,研究人员在菲律宾也看到了受害者,但不幸的是,研究人员没有发现这些示例中的流传机制。

这个后门很简朴,大部分的恶意功效可能是通过分外的插件来部署的。它可以检索受害者的署理设置,并使用它接触到下令和控制(C&C)服务器,这解释目的很可能在一个公司网络中运行。

PhantomNet使用HTTPS协议与其硬编码的C&C服务器举行通讯: vgca.homeunix[.]org和office365.blogdns[.]com。为了防止中间人攻击,PhantomNet使用SSPI库中的函数实现证书牢固。在与C&C服务器的第一次毗邻时代下载证书,然后将其存储在Windows证书存储区中。

除了使用动态DNS提供程序外,有趣的是注意到第一个子域的名称vgca是为了模拟越南政府证书发表机构的名称而选择的。

攻击者可以使用以下五个下令来控制植入程序:

在VirusTotal上,研究人员找到了一个与上述导出匹配的插件。它是一个调试版本,凭据其PDB路径和其他调试路径而命名为SnowballS:

开端的大略剖析解释,该工具可以用于横向移动,由于它嵌入了Invoke-Mimikatz。invoke-mimikatz是powersploit渗透测试套装中的一个powershell版本的mimikatz工具,用来抓取windows操作系统中的密码。它还可以网络有关受害装备和用户帐户的信息。这解释PhantomNet可以吸收分外的和庞大的插件,这些插件可能只部署在恶意软件运营商稀奇感兴趣的装备上。

在越南的攻击事宜中,研究人员时无法恢复有关攻击后流动的数据,因此研究人员无法领会攻击者的最终目的。

总结

借助Able Desktop的攻击威力,Lazarus对WIZVERA VeraPort的攻击以及最近对SolarWinds Orion的供应链攻击,可以看到,供应链攻击是网络特工组织异常常见的攻击途径。在本文的示例中,攻击者就是攻击了一个越南证书发表机构的网站,该机构的用户可能对该机构有很高的信托度。

供应链攻击通常很难被发现,由于恶意代码通常隐藏在许多正当代码中,这使得发现它们变得异常难题。

IoC

本文我翻译自:https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/:
发表评论
sunbet声明:该文看法仅代表作者自己,与本平台无关。请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
用户名: 验证码:点击我更换图片

您可能还会对下面的文章感兴趣: