根据国外媒体的最新报道,网络犯罪分子目前正在向那些在越南政府认证机构(VGCA)提供下载的应用程序中插入恶意软件。更准确地来说,是有一群神秘的黑客通过在一个官方的政府软件工具包中插入恶意软件,对越南私营公司和政府机构实施了一次巧妙的供应链攻击。

据了解,发现这一次网络攻击活动的是安全公司ESET,他们在一份名为“SignSight行动”的报告中详细介绍了关于这次网络攻击活动的事件情况,在此事件中网络攻击的主要目标是越南政府认证机构(VGCA),该机构是一家政府机构,其主要职能是负责发放可用于电子签署官方文件的数字证书。

任何想要向越南政府提交文件的越南公民、私营公司,甚至其他政府机构,都必须使用越南政府认证机构(VGCA)兼容的数字证书来签署他们的文件。

越南政府认证机构(VGCA)不仅能够颁发这些数字证书,而且还可以提供现成的、用户友好的“客户端应用程序”,任何越南公民、私营公司和政府工作人员都可以在各自的计算机上安装这个应用程序,并自动完成签署文件的业务流程。

但是安全公司ESET的研究人员表示,在今年的某个时候,有网络攻击者入侵了这家机构的网站(网站地址为ca.gov.vn),并成功在该网站提供下载的两个VGCA客户端应用程序中植入了恶意软件。这两个文件分别是针对Windows用户的32位(gca01-client-v2-x32-8.3.msi)和64位(gca01-client-v2-x64-8.3.msi)客户端应用程序。

安全公司ESET的研究人员还提到,在今年的7月23日至8月5日期间,这两个文件被注入了一个名为PhantomNet的特洛伊木马后门,而这个木马也被称为Smanager。

安全研究人员表示,虽然这款恶意软件本身并不复杂,但是它的整体架构支持网络犯罪分子像其中嵌入更多的功能模块,也就是说,这款恶意软件的可扩展性非常强。

这款恶意软件中研究人员已知的插件包括检索代理设置以绕过公司防火墙的功能,以及下载和运行其他(恶意)应用程序的能力。

这家安全公司认为,在对选定目标进行更复杂的攻击之前,网络犯罪分子将利用这个后门对目标网络系统进行网络侦察活动。

安全公司ESET的研究人员表示,他们已经在这个月月初将此次攻击事件的详细信息报告给了越南政府认证机构(VGCA),但这家机构在双方接触之前就已经得知了这一次网络攻击的事件详情。

实际上,在安全公司ESET公布事件报告的当天,越南政府认证机构(VGCA)也正式承认了这一安全漏洞,并发布了一份关于用户如何从系统中删除恶意软件的教程。

值得一提的是,研究人员在菲律宾地区也发现了PhantomNet的受害者。

安全公司ESET的研究人员说到,他们在菲律宾也发现了被PhantomNet后门感染的目标用户,但目前他们还无法得知这些用户是如何被感染的,他们怀疑网络攻击者在针对菲律宾地区用户执行攻击时使用了其他的感染策略。

这家斯洛伐克安全公司没有正式将此次攻击归咎于任何特定组织,但此前的报道将PhatomNet(Smanager)恶意软件与我们国家资助的网络间谍活动联系了起来。

这一次针对越南政府认证机构(VGCA)的攻击事件,已经是今年第五起重大供应链攻击事件了,此前还发生过下列针对供应链的网络攻击活动:

1、SolarWinds:据官方报告描述,SolarWinds软件在2020年3-6月期间发布的版本均受到供应链攻击的影响,攻击者在这段期间发布的2019.4-2020.2.1版本中植入了恶意的后门应用程序。这些程序利用SolarWinds的数字证书绕过验证,并在休眠2周左右后会和第三方进行通信,并且根据返回的指令执行操作,包括传输文件,执行文件,重启系统等。这些通信会伪装成Orion Improvement Program(OIP)协议并将结果隐藏在众多合法的插件配置文件中,从而达成隐藏自身的目的。

2、Able Desktop:我国黑客攻击了数百个蒙古政府机构所使用的聊天应用程序的更新机制。黑客针对的是一个名为Able Desktop的应用程序,该应用程序是由一家本地公司Able Software开发的。根据该公司的网站,该应用程序是一个附加程序,可为该公司的主要产品人力资源管理(HRM)平台提供即时消息传递功能 。Able Software声称其平台已被 430多个蒙古政府机构使用,其中包括总统府,司法部,卫生部,各种地方执法机构以及许多地方政府。

3、GoldenSpy:Trustwave发现了一个重大的恶意活动,涉及在中国开展业务所需的强制性税收发票软件。该活动被称为GoldenSpy,它是软件包中的嵌入式后门,它可以通过任意代码执行对受害人系统进行完全的远程命令和控制。在GoldenSpy公开之后,后门背后的人迅速争先恐后推动卸载程序从受感染的系统中删除GoldenSpy。卸载程序已从更新程序模块中删除,清理了GoldenSpy,最后删除了自身,没有留下任何痕迹。随后又发布了另一个卸载程序,专门用于逃避该团队发布的帮助感染者的YARA规则。由于了解到攻击者正在注视该团队的一切举动,以帮助受GoldenSpy影响的组织,所以该团队等待了一段时间,并悄悄地跟踪着该团队的威胁搜寻策略。该团队发现他们正在继续推销新的GoldenSpy卸载程序-到目前为止,该团队已经发现了五个变体,总计24个卸载程序文件。

4、Wizvera VeraPort:就在不久之前,韩国掀起了一场新型的供应链黑客攻击,该攻击滥用合法的安全软件和被盗的数字证书,以在目标系统上分发远程管理工具(RAT)。该攻击虽然范围有限,但却利用了WIZVERA VeraPort,它被称为“旨在集成和管理与网上银行相关的安装程序的程序”,例如银行为个人和企业发行的数字证书,以确保所有交易和流程的安全。

文章原文链接:https://www.anquanke.com/post/id/227278