ESET的研究人员发现了一起针对越南政府认证机构的供应链攻击行动

[[373471]]

ESET的研究人员发现了一起针对越南政府网站的供应链攻击,就在Able Desktop软件遭受供应链攻击的几周后,越南政府认证机构(VGCA)的网站ca.gov.vn又发生了一起类似的攻击。攻击者修改了该网站上可供下载的两个安装程序,并添加了一个后门,以攻击合法应用程序的用户。

ESET的研究人员在2020年12月初发现了这种新的供应链攻击,并通知了受攻击的组织和VNCERT。研究人员认为,截至2020年8月底,该网站并没有提供受攻击的软件安装程序,ESET的追踪研究数据也并没有表明受攻击的安装程序已传播到其他任何地方。越南政府认证机构也承认,他们在ESET通知之前就检测到了这次攻击,并通知了下载木马软件的用户。

越南的供应链攻击

在越南,数字签名非常普遍,因为数字签名的文档具有与“湿”签名相同的可执行性。根据第130/2018号法令,用于签署文件的加密证书必须由包括VGCA在内的授权证书提供商之一授予,VGCA是政府密码委员会的一部分,该委员会又归属新闻和通信部。

除了颁发证书,VGCA还开发和发布了数字签名工具包。越南政府用它来签署数字文件,很可能私人公司也用它。对于APT小组来说,认证机构网站的攻击是一个很好的机会,因为访问者可能会对负责数字签名的国家组织高度信任。

如图1所示,这些程序似乎部署在党和国家机构中。

ca.gov.vn的屏幕截图

根据ESET的分析,至少从2020年7月23日到2020年8月16日,ca.gov.vn就已经受到攻击。有两个安装程序可以下载,gca01-client-v2-x32-8.3.msi和gca01-client- v2-x64-8.3.msi被修改为包含了一个名为PhantomNet或SManager的恶意软件,NTT Security最近对该软件进行了分析。目前ESET能够确认这些安装程序是通过HTTPS协议从ca.gov.vn下载的,所以研究人员认为这不太可能是中间人攻击。指向恶意安装程序的URL为:

来自VirusTotal的数据也证实了这一点,如图2所示。

VirusTotal截图,它显示了木马安装程序下载URL的位置

木马安装程序没有正确签名,但是我们注意到干净的GCA安装程序也没有正确签名(该对象的数字签名未验证),官方和木马MSI都使用分配给Safenet公司的证书。

图3是供应链攻击的摘要,要想被破解,用户必须手动下载并执行官方网站上的破解软件。

供应链攻击的简化方案

下载并执行后,安装程序将启动正版GCA程序和恶意文件。恶意文件被写入C:\ Program Files \ VGCA \ Authentication \ SAC \ x32 \ eToken.exe。通过安装合法程序,攻击者可以确保最终用户不会轻易注意到这种攻击。

这个恶意文件是一个简单的dropper ,它提取名为7z.cab的Windows cabinet文件(.cab),其中包含后门。

如果dropper作为管理员运行,则后门将被写入c:\ windows \ appatch\ netapi32.dll,并且为了持久性攻击,dropper将恶意DLL注册为服务。

如果以普通用户身份运行,则后门将写入%TEMP%\ Wmedia \

PhantomNet

后门由其开发人员命名为Smanager_ssl.DLL,但研究人员使用的是PhantomNet,因为这是该后门的较旧版本中使用的项目名称。最新版本是在2020年4月26日,即在供应链攻击发生将近两个月之前编译的。除越南外,研究人员在菲律宾也看到了受害者,但不幸的是,研究人员没有发现这些示例中的传播机制。

这个后门很简单,大部分的恶意功能可能是通过额外的插件来部署的。它可以检索受害者的代理配置,并使用它接触到命令和控制(C&C)服务器,这表明目标很可能在一个公司网络中运行。

PhantomNet使用HTTPS协议与其硬编码的C&C服务器进行通信: vgca.homeunix[.]org和office365.blogdns[.]com。为了防止中间人攻击,PhantomNet使用SSPI库中的函数实现证书固定。在与C&C服务器的第一次连接期间下载证书,然后将其存储在Windows证书存储区中。

除了使用动态DNS提供程序外,有趣的是注意到第一个子域的名称vgca是为了模仿越南政府证书颁发机构的名称而选择的。

攻击者可以使用以下五个命令来控制植入程序:

在VirusTotal上,研究人员找到了一个与上述导出匹配的插件。它是一个调试版本,根据其PDB路径和其他调试路径而命名为SnowballS:

初步的粗略分析表明,该工具可以用于横向移动,因为它嵌入了Invoke-Mimikatz。invoke-mimikatz是powersploit渗透测试套装中的一个powershell版本的mimikatz工具,用来抓取windows操作系统中的密码。它还可以收集有关受害设备和用户帐户的信息。这表明PhantomNet可以接收额外的和复杂的插件,这些插件可能只部署在恶意软件运营商特别感兴趣的设备上。

在越南的攻击事件中,研究人员时无法恢复有关攻击后活动的数据,因此研究人员无法了解攻击者的最终目标。

总结

借助Able Desktop的攻击威力,Lazarus对WIZVERA VeraPort的攻击以及最近对SolarWinds Orion的供应链攻击,可以看到,供应链攻击是网络间谍组织非常常见的攻击途径。在本文的示例中,攻击者就是攻击了一个越南证书颁发机构的网站,该机构的用户可能对该机构有很高的信任度。

供应链攻击通常很难被发现,因为恶意代码通常隐藏在许多合法代码中,这使得发现它们变得非常困难。

IoC

本文我翻译自:https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/如若转载,请注明原文地址。

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/142290.html<

(0)
管理的头像管理
上一篇2025-03-09 04:15
下一篇 2025-03-09 04:16

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注