查看原文
其他

韩国多家企业遭供应链攻击

Ionut Arghire 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

翻译:360代码卫士团队

安全研究员发现一起旨在通过一个远程访问木马 (RAT) 感染韩国组织机构以窃取有价值信息的供应链攻击。

这一攻击活动被称作“红色签名行动”,在7月份首次现身,是通过遭攻陷的某个远程支持解决方案提供商的更新服务器执行的。攻击的终极目标是通过 9002 RAT 后门感染目标。

攻击者设法窃取一个有效的数字证书并借此签名恶意软件。他们重新配置更新服务器将恶意文件传递到某个 IP 范围内的组织机构。

一旦 9002 RAT 位于受感染机器上后,它会安装其它恶意软件如互联网信息服务 (IIS) 6 WebDav(利用 CVE-2017-7269)和一个 SQL 数据库密码转储器的利用工具。

发现这次攻击活动的趋势科技公司指出,“这些工具说明攻击者如何查找存储在目标 web 服务器和数据库中的数据。”攻击者可能是在4月份窃取代码签名证书,然后准备、签名并将恶意的更新文件上传至服务器。之后,他们入侵更新服务器并将其配置从攻击者服务器中检索一个 update.zip 文件,不过前提是客户端是从某个具体的 IP 地址范围连接的。这就导致恶意更新文件被传输到客户端,而 9002 RAT 恶意软件被执行。恶意软件把其它恶意工具下载到受感染机器中。

这个后门是在2018年7月17日编译的,而 update.zip 中的配置文件是在7月18日创建的,而这一天正是远程支持项目的更新进程开始的时间。这次攻击中使用的 RAT 计划在8月份失效。

9002 RAT 能传输大量更多的恶意工具以查看并搜索活跃的目录对象、收集活跃的目录信息、从 SQL 数据库转储密码、利用以上提到的 IIS 6 缺陷、从浏览器中恢复密码并收集系统信息。它还会提取公开可用的黑客工具、PlugX 远程访问工具版本以及自定义 Mimikatz 版本(以验证计算及密码和活跃的目录凭证)。

趋势科技公司指出,“供应链攻击并不仅影响用户和企业,它们利用的是供应商及其客户或消费者之间的信任。通过将软件/应用程序木马化或操纵运行它们的基础设施或平台,供应链攻击影响组织机构所提供的商品和服务的完整性和安全性。”

 



关联阅读

白宫提议立法加固数字供应链安全


原文链接

https://www.securityweek.com/supply-chain-attack-hits-south-korean-firms



本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存