ESET的研究人员发现了一起针对越南政府认证机构的供应链攻击行动
ESET的研究人员发现了一起针对越南政府网站的供应链攻击,就在Able Desktop软件遭受供应链攻击的几周后,越南政府认证机构(VGCA)的网站ca.gov.vn又发生了一起类似的攻击。攻击者修改了该网站上可供下载的两个安装程序,并添加了一个后门,以攻击合法应用程序的用户。
ESET的研究人员在2020年12月初发现了这种新的供应链攻击,并通知了受攻击的组织和VNCERT。研究人员认为,截至2020年8月底,该网站并没有提供受攻击的软件安装程序,ESET的追踪研究数据也并没有表明受攻击的安装程序已传播到其他任何地方。越南政府认证机构也承认,他们在ESET通知之前就检测到了这次攻击,并通知了下载木马软件的用户。
越南的供应链攻击
在越南,数字签名非常普遍,因为数字签名的文档具有与“湿”签名相同的可执行性。根据第130/2018号法令,用于签署文件的加密证书必须由包括VGCA在内的授权证书提供商之一授予,VGCA是政府密码委员会的一部分,该委员会又归属新闻和通信部。
除了颁发证书,VGCA还开发和发布了数字签名工具包。越南政府用它来签署数字文件,很可能私人公司也用它。对于APT小组来说,认证机构网站的攻击是一个很好的机会,因为访问者可能会对负责数字签名的国家组织高度信任。
如图1所示,这些程序似乎部署在党和国家机构中。
ca.gov.vn的屏幕截图
根据ESET的分析,至少从2020年7月23日到2020年8月16日,ca.gov.vn就已经受到攻击。有两个安装程序可以下载,gca01-client-v2-x32-8.3.msi和gca01-client- v2-x64-8.3.msi被修改为包含了一个名为PhantomNet或SManager的恶意软件,NTT Security最近对该软件进行了分析。目前ESET能够确认这些安装程序是通过HTTPS协议从ca.gov.vn下载的,所以研究人员认为这不太可能是中间人攻击。指向恶意安装程序的URL为:
来自VirusTotal的数据也证实了这一点,如图2所示。
VirusTotal截图,它显示了木马安装程序下载URL的位置
木马安装程序没有正确签名,但是我们注意到干净的GCA安装程序也没有正确签名(该对象的数字签名未验证),官方和木马MSI都使用分配给Safenet公司的证书。
图3是供应链攻击的摘要,要想被破解,用户必须手动下载并执行官方网站上的破解软件。
供应链攻击的简化方案
下载并执行后,安装程序将启动正版GCA程序和恶意文件。恶意文件被写入C:\ Program Files \ VGCA \ Authentication \ SAC \ x32 \ eToken.exe。通过安装合法程序,攻击者可以确保最终用户不会轻易注意到这种攻击。
这个恶意文件是一个简单的dropper ,它提取名为7z.cab的Windows cabinet文件(.cab),其中包含后门。
如果dropper作为管理员运行,则后门将被写入c:\ windows \ appatch\ netapi32.dll,并且为了持久性攻击,dropper将恶意DLL注册为服务。
如果以普通用户身份运行,则后门将写入%TEMP%\ Wmedia \
PhantomNet
后门由其开发人员命名为Smanager_ssl.DLL,但研究人员使用的是PhantomNet,因为这是该后门的较旧版本中使用的项目名称。最新版本是在2020年4月26日,即在供应链攻击发生将近两个月之前编译的。除越南外,研究人员在菲律宾也看到了受害者,但不幸的是,研究人员没有发现这些示例中的传播机制。
这个后门很简单,大部分的恶意功能可能是通过额外的插件来部署的。它可以检索受害者的代理配置,并使用它接触到命令和控制(C&C)服务器,这表明目标很可能在一个公司网络中运行。
PhantomNet使用HTTPS协议与其硬编码的C&C服务器进行通信: vgca.homeunix[.]org和office365.blogdns[.]com。为了防止中间人攻击,PhantomNet使用SSPI库中的函数实现证书固定。在与C&C服务器的第一次连接期间下载证书,然后将其存储在Windows证书存储区中。
除了使用动态DNS提供程序外,有趣的是注意到第一个子域的名称vgca是为了模仿越南政府证书颁发机构的名称而选择的。
攻击者可以使用以下五个命令来控制植入程序:
在VirusTotal上,研究人员找到了一个与上述导出匹配的插件。它是一个调试版本,根据其PDB路径和其他调试路径而命名为SnowballS:
初步的粗略分析表明,该工具可以用于横向移动,因为它嵌入了Invoke-Mimikatz。invoke-mimikatz是powersploit渗透测试套装中的一个powershell版本的mimikatz工具,用来抓取windows操作系统中的密码。它还可以收集有关受害设备和用户帐户的信息。这表明PhantomNet可以接收额外的和复杂的插件,这些插件可能只部署在恶意软件运营商特别感兴趣的设备上。
在越南的攻击事件中,研究人员时无法恢复有关攻击后活动的数据,因此研究人员无法了解攻击者的最终目标。
总结
借助Able Desktop的攻击威力,Lazarus对WIZVERA VeraPort的攻击以及最近对SolarWinds Orion的供应链攻击,可以看到,供应链攻击是网络间谍组织非常常见的攻击途径。在本文的示例中,攻击者就是攻击了一个越南证书颁发机构的网站,该机构的用户可能对该机构有很高的信任度。
供应链攻击通常很难被发现,因为恶意代码通常隐藏在许多合法代码中,这使得发现它们变得非常困难。
IoC
本文我翻译自:https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/如若转载,请注明原文地址。
