ESET研究人员发现针对越南政府认证机构的供应链攻击活动另一个类似的攻击发生在越南政府认证机构(VGCA)的网站ca.gov.vn上。攻击者修改了网站上可供下载的两个安装程序,并添加了一个后门来攻击合法应用程序的用户。ESET研究人员在2020年12月上旬发现了这种新的供应链攻击,并通知了受到攻击的组织和VNCERT。研究人员认为,截至2020年8月底,该网站并未提供被攻陷的软件安装程序,ESET的跟踪研究数据也未表明被攻陷的安装程序已传播到其他任何地方。越南政府认证机构也承认,他们在ESET通知它并通知下载木马软件的用户之前就检测到了攻击。越南的供应链攻击在越南,数字签名非常普遍,因为数字签名的文档与“湿”签名具有相同的可执行性。根据第130/2018号法令,用于签署文件的加密证书必须由授权证书提供商之一授予,包括VGCA,它是政府密码委员会的一部分,而政府密码委员会又隶属于信息和通信部。除了颁发证书,VGCA还开发并发布了数字签名工具包。越南政府用它来签署数字文件,私营公司也可能使用它。对证书颁发机构网站的攻击为APT团体提供了一个很好的机会,因为访问者可能对负责数字签名的国家组织具有高度信任。如图1所示,这些程序似乎部署在党和国家机构中。ca.gov.vn截图根据ESET的分析,ca.gov.vn至少从2020年7月23日到2020年8月16日一直受到攻击。有两个安装程序可供下载,gca01-client-v2-x32-8.3.msi和gca01-client-v2-x64-8.3.msi修改为包含名为PhantomNet或SManager的恶意软件,NTTSecurity最近发布了该软件执行分析。ESET能够确认这些安装程序是通过HTTPS协议从ca.gov.vn下载的,因此研究人员认为这不太可能是中间人攻击。指向恶意安装程序的URL是:VirusTotal的数据也证实了这一点,如图2所示。来自VirusTotal的屏幕截图,其中显示了木马安装程序下载URL的位置木马安装程序未正确签名,但我们注意到干净的GCA安装程序也未正确签名(对象的数字签名未验证),无论是官方还是木马MSI使用分发证书给SafenetCorporation。图3是供应链攻击的总结。破解需要用户在官网手动下载并执行破解软件。供应链攻击简化场景一旦下载并执行,安装程序将启动正版GCA程序和恶意文件。恶意文件写入C:\ProgramFiles\VGCA\Authentication\SAC\x32\eToken.exe。通过安装合法程序,攻击者可以确保攻击不会轻易被最终用户察觉。该恶意文件是一个简单的植入程序,可提取名为7z.cab的Windows压缩文件(.cab),其中包含后门程序。如果植入程序以管理员身份运行,后门程序将写入c:\windows\appatch\netapi32.dll,为了持久化,植入程序会将恶意DLL注册为服务。如果以普通用户身份运行,后门将写入%TEMP%\Wmedia\PhantomNet项目名称。最新版本编译于2020年4月26日,比供应链攻击事件早了将近两个月。除了越南,研究人员还在菲律宾看到了受害者,但遗憾的是,研究人员并没有在这些例子中检测到传播机制。这个后门很简单,大部分恶意功能可能是通过额外的插件部署的。它可以检索受害者的代理配置并使用它来连接命令和控制(C&C)服务器,这表明目标很可能在公司网络中运行。PhantomNet使用HTTPS协议与其硬编码的C&C服务器通信:vgca.homeunix[.]org和office365.blogdns[.]com。为了防止中间人攻击,PhantomNet使用SSPI库中的函数来实现证书锁定。证书在第一次连接到C&C服务器时下载,然后存储在Windows证书存储中。除了使用动态DNS提供商之外,值得注意的是,第一个子域的名称vgca被选择为模仿越南政府证书颁发机构的名称。攻击者可以使用以下五个命令来控制植入程序:在VirusTotal上,研究人员发现了一个与上述导出匹配的插件。它是一个调试版本,根据其PDB路径和其他调试路径命名为SnowballS:初步粗略分析表明,该工具可以用于横向移动,因为它嵌入了Invoke-Mimikatz。invoke-mimikatz是powersploit渗透测试套件中mimikatz工具的powershell版本,用于在windows操作系统中抓取密码。它还可以收集有关受害设备和用户帐户的信息。这表明PhantomNet可以接收额外的复杂插件,这些插件可能只部署在恶意软件操作者特别感兴趣的设备上。在越南袭击事件中,研究人员无法恢复有关袭击后活动的数据,因此研究人员无法了解袭击者的最终目标。总结AbleDesktop的攻击威力,Lazarus对WIZVERAVeraPort的攻击,以及近期对SolarWindsOrion的供应链攻击,可以看出供应链攻击是网络间谍组织非常常见的攻击手段。在本文的示例中,攻击者破坏了越南证书颁发机构的网站,其用户可能对该机构高度信任。供应链攻击通常难以检测,因为恶意代码通常隐藏在许多合法代码中,因此很难发现它们。这篇IoC文章我翻译自:https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/如有转载请注明原文地址。
