聲明：該文章由作者（婭米）發(fā)表，轉(zhuǎn)載此文章須經(jīng)作者同意并請附上出處(0XUCN)及本頁鏈接。。

網(wǎng)絡(luò)安全研究人員揭秘了韓國一場新型供應(yīng)鏈攻擊，該攻擊濫用合法安全軟件和竊取的數(shù)字證書，在目標(biāo)系統(tǒng)上分發(fā)遠(yuǎn)程管理工具（RAT）。

Slovak網(wǎng)絡(luò)安全公司ESET將此次行動歸咎于Lazarus集團(tuán)，該集團(tuán)也被稱為“Hidden Cobra”。ESET表示，黑客利用了該國的強(qiáng)制要求，即互聯(lián)網(wǎng)用戶必須安裝額外的安全軟件。

雖然攻擊范圍有限，但它利用了WIZVERA VeraPort，該程序被宣傳為“旨在整合和管理與互聯(lián)網(wǎng)銀行相關(guān)的安裝程序的程序”，比如銀行向個人和企業(yè)發(fā)放的數(shù)字證書，以確保所有交易和處理支付的安全。

這是韓國長期以來針對受害者的間諜攻擊的最新進(jìn)展，包括Operation Troy、2011年的DDoS攻擊，以及過去十年針對銀行機(jī)構(gòu)和加密貨幣交易所的攻擊。

除了使用上述安裝安全軟件的技術(shù)從合法但受到損害的網(wǎng)站傳遞惡意軟件外，攻擊者還使用非法獲得的代碼簽名證書來簽署惡意軟件樣本，其中一份發(fā)給了韓國一家名為Dream Security USA的安全公司在美國的分公司。

ESET研究人員PeterKálnai表示：“攻擊者將Lazarus惡意軟件樣本偽裝成合法軟件。這些樣本具有與韓國合法軟件相似的文件名，圖標(biāo)和資源?！薄氨还舻木W(wǎng)站結(jié)合了WIZVERA VeraPort支持和特定的VeraPort配置選項(xiàng)，使得攻擊者能夠執(zhí)行這種攻擊。”

ESET的研究人員指出，攻擊者的目標(biāo)是那些使用VeraPort的網(wǎng)站，這些網(wǎng)站還附帶了一個base64編碼的XML配置文件，其中包含要安裝的軟件列表及其相關(guān)下載URL。ESET的研究人員表示，攻擊者通過損害一個合法的網(wǎng)站，然后用非法獲得的代碼簽名證書簽署交付有效載荷。

研究人員指出：“WIZVERA VeraPort配置包含一個選項(xiàng)，可以在執(zhí)行之前對下載的二進(jìn)制文件進(jìn)行數(shù)字簽名驗(yàn)證，并且在大多數(shù)情況下，這個選項(xiàng)是默認(rèn)啟用的?！薄暗?，VeraPort只驗(yàn)證數(shù)字簽名是有效的，而不檢查它屬于誰。”

然后，二進(jìn)制文件繼續(xù)下載一個惡意軟件卸載程序，該程序提取另外兩個組件——加載器和下載器，后者被加載器注入到一個Windows進(jìn)程中（“svchost.exe”）。下載器獲取的最后階段有效載荷采用RAT的形式，它帶有允許惡意軟件在受害者的文件系統(tǒng)上執(zhí)行操作的命令，并從攻擊者的武器庫中下載和執(zhí)行輔助工具。

更重要的是，此次行動似乎是另一場名為“Operation BookCodes”的攻擊的延續(xù)，今年4月初韓國互聯(lián)網(wǎng)與安全局（Korea Internet & Security Agency）詳細(xì)描述了這一攻擊，該攻擊在TTPs和命令與控制（C2）基礎(chǔ)設(shè)施上存在明顯重疊。

研究人員表示，“攻擊者對供應(yīng)鏈攻擊特別感興趣，因?yàn)樗麄兛梢栽谕粫r間秘密地在許多電腦上部署惡意軟件。”

“支持VeraPort的網(wǎng)站的所有者可以通過啟用特定選項(xiàng)（例如在VeraPort配置中指定二進(jìn)制文件的哈希值）來降低此類攻擊的可能性，如果網(wǎng)站已經(jīng)受到了攻擊也可以采用這種方法?！?

消息來源：The Hacker News?；封面來自網(wǎng)絡(luò)；譯者：芋泥啵啵奶茶。

本文由?HackerNews.cc?翻譯整理。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/