安全研究员发现一起旨在通过一个远程访问木马 (RAT) 感染韩国组织机构以窃取有价值信息的供应链攻击。
这一攻击活动被称作“红色签名行动”,在7月份首次现身,是通过遭攻陷的某个远程支持解决方案提供商的更新服务器执行的。攻击的终极目标是通过 9002 RAT 后门感染目标。
攻击者设法窃取一个有效的数字证书并借此签名恶意软件。他们重新配置更新服务器将恶意文件传递到某个 IP 范围内的组织机构。
一旦 9002 RAT 位于受感染机器上后,它会安装其它恶意软件如互联网信息服务 (IIS) 6 WebDav(利用 CVE-2017-7269)和一个 SQL 数据库密码转储器的利用工具。
发现这次攻击活动的趋势科技公司指出,“这些工具说明攻击者如何查找存储在目标 web 服务器和数据库中的数据。”攻击者可能是在4月份窃取代码签名证书,然后准备、签名并将恶意的更新文件上传至服务器。之后,他们入侵更新服务器并将其配置从攻击者服务器中检索一个 update.zip 文件,不过前提是客户端是从某个具体的 IP 地址范围连接的。这就导致恶意更新文件被传输到客户端,而 9002 RAT 恶意软件被执行。恶意软件把其它恶意工具下载到受感染机器中。
这个后门是在2018年7月17日编译的,而 update.zip 中的配置文件是在7月18日创建的,而这一天正是远程支持项目的更新进程开始的时间。这次攻击中使用的 RAT 计划在8月份失效。
9002 RAT 能传输大量更多的恶意工具以查看并搜索活跃的目录对象、收集活跃的目录信息、从 SQL 数据库转储密码、利用以上提到的 IIS 6 缺陷、从浏览器中恢复密码并收集系统信息。它还会提取公开可用的黑客工具、PlugX 远程访问工具版本以及自定义 Mimikatz 版本(以验证计算及密码和活跃的目录凭证)。
趋势科技公司指出,“供应链攻击并不仅影响用户和企业,它们利用的是供应商及其客户或消费者之间的信任。通过将软件/应用程序木马化或操纵运行它们的基础设施或平台,供应链攻击影响组织机构所提供的商品和服务的完整性和安全性。
本文由360代码卫士翻译自SecurityWeek
声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
