供应链攻击Operation Red Signature袭向韩国
时间 : 2018-08-22 编辑 : DNS智能解析专家
趋势科技与IssueMakersLab的安全研究人员一起发现了Operation Red Signature,这是针对韩国企业的信息窃取驱动的供应链攻击。研究者在7月底发现了这些袭击事件后,而媒体则报道了8月6日在韩国发生的袭击事件。
威胁参与者破坏了远程支持解决方案提供商的更新服务器,以通过更新过程向其感兴趣的目标提供名为9002 RAT的远程访问工具。他们首先窃取了公司的证书,然后用它来签署恶意软件。如果客户端位于其目标组织的IP地址范围内,他们还将更新服务器配置来传送恶意文件。
9002 RAT还安装了其他恶意工具:Internet信息服务(IIS)6 WebDav(利用CVE-2017-7269)和一个SQL数据库密码转储器的漏洞利用工具。这些工具暗示了攻击者如何将数据存储在目标的Web服务器和数据库中。
(Red Signature的攻击链操作)
以下是Operation Red Signature的工作原理:
来自远程支持解决方案提供商的代码签名证书被盗。早在2018年4月,证书就有可能被盗,因为在4月8日就发现了一个与被盗证书签署的ShiftDoor恶意软件(4ae4aed210f2b4f75bdb855f6a5c11e625d56de2)。
准备好恶意更新文件,使用被盗证书签名,并上传到攻击者的服务器(207[.]148[.]94[.]157)。
该公司的更新服务器被黑客入侵。
更新服务器配置为如果客户端从属于其目标组织的特定IP地址范围连接,则从攻击者的服务器接收update.zip文件。
执行远程支持程序时,恶意update.zip文件将发送到客户端。
远程支持程序将更新文件识别为正常,并在其中执行9002 RAT恶意软件。
9002 RAT从攻击者的服务器下载并执行其他恶意文件。
技术分析
update.zip文件包含 update.ini文件,里面有指定的远程支持解决方案程序下载非法的更新配置 file000.zip和 file001.zip并提取它们作为 rcview40u.dll和 rcview.log到安装夹。
然后,程序将使用Microsoft注册服务器(regsvr32.exe)执行使用被盗证书签名的rcview40u.dll 。此动态链接库(DLL)负责解密加密的rcview.log文件并在内存中执行它。9002 RAT是解密的rcview.log有效负载,它连接到 66[.]42[.]37[.]101的命令和控制(C&C)服务器。
(恶意更新配置的内容)
缓解供应链攻击
供应链攻击不仅影响用户和企业,还会利用供应商与其客户或客户之间的信任。通过对软件/应用程序进行木马化或操纵运行它们的基础架构或平台,供应链攻击会影响组织提供的产品和服务的完整性和安全性。例如,在医疗保健领域,该行业严重依赖第三方和基于云的服务,供应链攻击可能会危及个人身份数据和知识产权的隐私,破坏医院运营,甚至危及患者的健康。而当诸如欧盟通用数据保护和监管( GDPR)法规的实施,影响可能会加剧。
建议措施
监督第三方产品和服务:除了确保组织自己的在线场所的安全性(例如,补丁修复,身份认证机制)之外,还必须在使用的第三方应用程序中设置安全控制。
制定主动的事件响应策略:供应链攻击通常是有针对性的,组织必须能够完全理解、管理和监控第三方供应商所涉及的风险。
主动监控网络异常活动:防火墙和入侵检测和防御系统有助于缓解基于网络的威胁。
实施最小特权原则:网络分段、数据分类、系统管理工具的限制以及应用程序控制有助于阻止横向移动并最大限度地减少暴露的数据。
来源:https://blog.trendmicro.com/trendlabs-security-intelligence/supply-chain-attack-operation-red-signature-targets-south-korean-organizations/
