日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

ESET的研究人員發(fā)現(xiàn)了一起針對(duì)越南政府網(wǎng)站的供應(yīng)鏈攻擊，就在Able Desktop軟件遭受供應(yīng)鏈攻擊的幾周后，越南政府認(rèn)證機(jī)構(gòu)(VGCA)的網(wǎng)站ca.gov.vn又發(fā)生了一起類似的攻擊。攻擊者修改了該網(wǎng)站上可供下載的兩個(gè)安裝程序，并添加了一個(gè)后門，以攻擊合法應(yīng)用程序的用戶。

我們提供的服務(wù)有：成都網(wǎng)站建設(shè)、做網(wǎng)站、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、葉縣ssl等。為1000+企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的葉縣網(wǎng)站制作公司

ESET的研究人員在2020年12月初發(fā)現(xiàn)了這種新的供應(yīng)鏈攻擊，并通知了受攻擊的組織和VNCERT。研究人員認(rèn)為，截至2020年8月底，該網(wǎng)站并沒有提供受攻擊的軟件安裝程序，ESET的追蹤研究數(shù)據(jù)也并沒有表明受攻擊的安裝程序已傳播到其他任何地方。越南政府認(rèn)證機(jī)構(gòu)也承認(rèn)，他們?cè)贓SET通知之前就檢測(cè)到了這次攻擊，并通知了下載木馬軟件的用戶。

越南的供應(yīng)鏈攻擊

在越南，數(shù)字簽名非常普遍，因?yàn)閿?shù)字簽名的文檔具有與“濕”簽名相同的可執(zhí)行性。根據(jù)第130/2018號(hào)法令，用于簽署文件的加密證書必須由包括VGCA在內(nèi)的授權(quán)證書提供商之一授予，VGCA是政府密碼委員會(huì)的一部分，該委員會(huì)又歸屬新聞和通信部。

除了頒發(fā)證書，VGCA還開發(fā)和發(fā)布了數(shù)字簽名工具包。越南政府用它來簽署數(shù)字文件，很可能私人公司也用它。對(duì)于APT小組來說，認(rèn)證機(jī)構(gòu)網(wǎng)站的攻擊是一個(gè)很好的機(jī)會(huì)，因?yàn)樵L問者可能會(huì)對(duì)負(fù)責(zé)數(shù)字簽名的國(guó)家組織高度信任。

如圖1所示，這些程序似乎部署在黨和國(guó)家機(jī)構(gòu)中。

ca.gov.vn的屏幕截圖

根據(jù)ESET的分析，至少從2020年7月23日到2020年8月16日，ca.gov.vn就已經(jīng)受到攻擊。有兩個(gè)安裝程序可以下載，gca01-client-v2-x32-8.3.msi和gca01-client- v2-x64-8.3.msi被修改為包含了一個(gè)名為PhantomNet或SManager的惡意軟件，NTT Security最近對(duì)該軟件進(jìn)行了分析。目前ESET能夠確認(rèn)這些安裝程序是通過HTTPS協(xié)議從ca.gov.vn下載的，所以研究人員認(rèn)為這不太可能是中間人攻擊。指向惡意安裝程序的URL為：

來自VirusTotal的數(shù)據(jù)也證實(shí)了這一點(diǎn)，如圖2所示。

VirusTotal截圖，它顯示了木馬安裝程序下載URL的位置

木馬安裝程序沒有正確簽名，但是我們注意到干凈的GCA安裝程序也沒有正確簽名(該對(duì)象的數(shù)字簽名未驗(yàn)證)，官方和木馬MSI都使用分配給Safenet公司的證書。

圖3是供應(yīng)鏈攻擊的摘要，要想被破解，用戶必須手動(dòng)下載并執(zhí)行官方網(wǎng)站上的破解軟件。

供應(yīng)鏈攻擊的簡(jiǎn)化方案

下載并執(zhí)行后，安裝程序?qū)?dòng)正版GCA程序和惡意文件。惡意文件被寫入C：\ Program Files \ VGCA \ Authentication \ SAC \ x32 \ eToken.exe。通過安裝合法程序，攻擊者可以確保最終用戶不會(huì)輕易注意到這種攻擊。

這個(gè)惡意文件是一個(gè)簡(jiǎn)單的dropper ，它提取名為7z.cab的Windows cabinet文件(.cab)，其中包含后門。

如果dropper作為管理員運(yùn)行，則后門將被寫入c:\ windows \ appatch\ netapi32.dll，并且為了持久性攻擊，dropper將惡意DLL注冊(cè)為服務(wù)。

如果以普通用戶身份運(yùn)行，則后門將寫入%TEMP%\ Wmedia \

PhantomNet

后門由其開發(fā)人員命名為Smanager_ssl.DLL，但研究人員使用的是PhantomNet，因?yàn)檫@是該后門的較舊版本中使用的項(xiàng)目名稱。最新版本是在2020年4月26日，即在供應(yīng)鏈攻擊發(fā)生將近兩個(gè)月之前編譯的。除越南外，研究人員在菲律賓也看到了受害者，但不幸的是，研究人員沒有發(fā)現(xiàn)這些示例中的傳播機(jī)制。

這個(gè)后門很簡(jiǎn)單，大部分的惡意功能可能是通過額外的插件來部署的。它可以檢索受害者的代理配置，并使用它接觸到命令和控制(C&C)服務(wù)器，這表明目標(biāo)很可能在一個(gè)公司網(wǎng)絡(luò)中運(yùn)行。

PhantomNet使用HTTPS協(xié)議與其硬編碼的C&C服務(wù)器進(jìn)行通信： vgca.homeunix[.]org和office365.blogdns[.]com。為了防止中間人攻擊，PhantomNet使用SSPI庫中的函數(shù)實(shí)現(xiàn)證書固定。在與C&C服務(wù)器的第一次連接期間下載證書，然后將其存儲(chǔ)在Windows證書存儲(chǔ)區(qū)中。

除了使用動(dòng)態(tài)DNS提供程序外，有趣的是注意到第一個(gè)子域的名稱vgca是為了模仿越南政府證書頒發(fā)機(jī)構(gòu)的名稱而選擇的。

攻擊者可以使用以下五個(gè)命令來控制植入程序:

在VirusTotal上，研究人員找到了一個(gè)與上述導(dǎo)出匹配的插件。它是一個(gè)調(diào)試版本，根據(jù)其PDB路徑和其他調(diào)試路徑而命名為SnowballS：

初步的粗略分析表明，該工具可以用于橫向移動(dòng)，因?yàn)樗度肓薎nvoke-Mimikatz。invoke-mimikatz是powersploit滲透測(cè)試套裝中的一個(gè)powershell版本的mimikatz工具，用來抓取windows操作系統(tǒng)中的密碼。它還可以收集有關(guān)受害設(shè)備和用戶帳戶的信息。這表明PhantomNet可以接收額外的和復(fù)雜的插件，這些插件可能只部署在惡意軟件運(yùn)營(yíng)商特別感興趣的設(shè)備上。

在越南的攻擊事件中，研究人員時(shí)無法恢復(fù)有關(guān)攻擊后活動(dòng)的數(shù)據(jù)，因此研究人員無法了解攻擊者的最終目標(biāo)。

總結(jié)

借助Able Desktop的攻擊威力，Lazarus對(duì)WIZVERA VeraPort的攻擊以及最近對(duì)SolarWinds Orion的供應(yīng)鏈攻擊，可以看到，供應(yīng)鏈攻擊是網(wǎng)絡(luò)間諜組織非常常見的攻擊途徑。在本文的示例中，攻擊者就是攻擊了一個(gè)越南證書頒發(fā)機(jī)構(gòu)的網(wǎng)站，該機(jī)構(gòu)的用戶可能對(duì)該機(jī)構(gòu)有很高的信任度。

供應(yīng)鏈攻擊通常很難被發(fā)現(xiàn)，因?yàn)閻阂獯a通常隱藏在許多合法代碼中，這使得發(fā)現(xiàn)它們變得非常困難。

IoC

本文我翻譯自：https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/如若轉(zhuǎn)載，請(qǐng)注明原文地址。

名稱欄目：ESET的研究人員發(fā)現(xiàn)了一起針對(duì)越南政府認(rèn)證機(jī)構(gòu)的供應(yīng)鏈攻擊行動(dòng)
網(wǎng)頁路徑：http://www.dlmjj.cn/article/dpoposd.html