E安全12月21日讯 近日,网络安全研究人员披露了一种针对越南政府证书颁发机构(VGCA)的新供应链攻击,该攻击破坏了该机构的数字签名工具包,在受害者系统上安装了后门。

PART-1

“SignSight”攻击初发现

斯洛伐克互联网安全公司ESET在本月初发现了这次“SignSight”攻击,它涉及修改CA网站(“CA .gov.vn”)上的软件安装程序,以插入一个名为PhantomNet或Smanager的间谍软件工具。

根据ESET的遥测数据,该漏洞至少在2020年7月23日至8月16日发生了违规行为,其中涉及两个安装程序“gca01-client-v2-x32-8.3.msi”和“gca01-client-v2-x64-8.3”.msi”(适用于32位和64位Windows系统),已被篡改以包含后门。ESET的Matthieu Faou说:“对于APT团体来说,认证机构网站的妥协是一个很好的机会,因为访问者可能会对负责数字签名的国家组织高度信任。”

在将攻击报告给VGCA之后,证书颁发机构确认“他们在通知我们之前就已经知道了攻击,并通知了下载了该木马软件的用户。”越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分,政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌(也称为PKI令牌)对文档进行数字签名,并且需要上述驱动程序进行操作。

因此,用户被感染的唯一途径是在官方网站上的受损软件被手动下载并在目标系统上执行。一旦安装完毕,修改后的软件就会启动真正的GCA程序来掩盖漏洞,然后运行PhantomNet后门,伪装成一个看似无害的名为“eToken.exe”的文件。

后门——最近一次编译是在4月26日——负责收集系统信息,并通过从硬编码的命令和控制服务器(例如,命令和控制服务器)上获取的插件部署额外的恶意能力。“vgca.homeunix。[]org"和"office365.blogdns[.]com"),模仿了VGCA和流行的生产力软件的名称。

PART-2

多国受害

ESET表示,除了越南,他们还在菲律宾看到了受害者,但他们的输送机制仍不清楚。攻击者的最终目标也不清楚,因为很少甚至没有关于妥协后活动的信息。

去年11月,ESET披露了韩国的拉撒路行动,该行动使用合法的安全软件和窃取的数字证书,在目标系统上分发远程管理工具(RATs)。

上周,它还发现蒙古430个政府机构使用的一款名为Able Desktop的聊天软件被滥用,用于传送HyperBro后门、Korplug RAT病毒和另一种名为Tmanger的木马。最后,本周发现的针对太阳风“猎户座”软件的供应链攻击被用来破坏美国几个主要政府机构的网络,包括国土安全部、商务部、财政部和国务院。

Faou总结说:“供应链攻击通常很难被发现,因为恶意代码通常隐藏在大量合法代码中,这使得发现它非常困难。”

声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。