我们大多数人在安装软件或从可信的开发人员那里更新时都不会三思。我们仔细检查源站点,以确保它是合法的,然后我们让代码在我们的计算机上运行,没有过多的思考。随着开发人员不断使软件和网页更难被黑,过去几年来,黑客们越来越多地利用这种信任来传播恶意软件。过去一周,两起类似的供应链攻击事件浮出水面。
首先是VestaCP这是系统管理员用来管理服务器的控制面板界面。这互联网扫描由Censys执行显示目前有超过132,000个未过期的TLS证书保护VestaCP用户。根据一项上周四发布的帖子据安全公司Eset报道,未知攻击者侵入VestaCP服务器,并利用其访问权限恶意更改了可下载的安装程序。
中毒的来源
Eset恶意软件研究员Marc-Étienne M.Léveillé告诉Ars:“VestaCP安装脚本被修改为在成功安装后向vestacp.com报告生成的管理凭证。”“我们不知道具体是什么时候发生的,但修改后的安装脚本在5月31日至6月13日之间可以在GitHub上的源代码管理中看到。”VestaCP开发人员Serghey罗丹他的组织正在与Eset合作调查漏洞,以更好地理解这次攻击。
在调查完成之前,尚不清楚这种妥协究竟是如何起作用的。根据Léveillé的初步发现,黑客很可能是从VestaCP软件或用于分发该软件的服务器中的一个关键漏洞开始的,该漏洞让攻击者获得了根控制。从那里开始,攻击者将密码嗅探功能添加到安装源代码中。VestaCP软件已经包含了从用户服务器向vestacp.com网站发送统计信息的代码。
Léveillé说,他认为恶意代码只是增加了一些难以破译的行,导致编码密码包括在内。然后,攻击者利用他们对VestaCP网络的控制来获取窃取的密码。研究人员说,虽然这种方法更复杂,但它的优点是在源代码中更难检测到。Léveillé说,攻击者很可能使用这些密码通过安全shell接口登录到服务器上。
通过SSH,攻击者用ChachaDDoS感染服务器,这是一种相对较新的恶意软件,用于对其他网站进行拒绝服务攻击。该恶意软件提供了多种高级功能,包括阻止管理员在服务器上发现并分析它的方法。Chacha运行在32位和64位ARM、x86、x86_64、MIPS、MIPSEL和PowerPC上。周二,来自安全公司Sophos的研究人员描述了一种新发现的DDoS僵尸网络,他们称之为Chalubo几乎可以肯定运行着Eset所描述的Chacha恶意软件。
对VestaCP供应链的攻击可能比源代码中记录的14天要长。的帖子,如这一个显示VestaCP用户在4月初报告服务器被入侵,比Eset列出的5月31日早了近两个月。讨论如这一个表明,在6月13日恶意更改从源代码中删除之后,影响VestaCP用户的妥协仍在继续。Léveillé表示,Eset计划在一周左右的时间内公布更多关于此次袭击的细节。
劫机者潜入了PyPI
本周曝光的第二起供应链攻击事件涉及一家这个恶意包被放入了广泛使用的Python编程语言的官方存储库中.这个名为“Colourama”的包装看起来类似于彩色光,这是一个下载次数最多的20个合法模块在Python存储库中。doppelgänger Colourama包包含了合法模块的大部分合法函数,有一个显著的区别:Colourama添加了在Windows服务器上运行时安装的代码这个Visual Basic脚本.它不断监控服务器的剪贴板,以寻找用户即将进行加密货币支付的迹象。当被触发时,脚本将支付从剪贴板中包含的钱包地址转移到攻击者拥有的钱包。
这不是第一次滥用Python的官方PyPI存储库来执行这种类型的社会工程攻击。2016年,一名大学生的学士学位论文使用了同样的方法获得了一份未经授权的Python模块在超过17000个独立域上执行了超过45000次其中一些隶属于美国政府和军事组织。一年后,PyPI被收购了又一次被代码包污染了其中包括“恶意(但相对无害的)代码”。在过去的六个月里,藏在PyPI中的剪贴板劫机者被下载了171次,不包括镜像网站,其中55次是在上个月。受感染的服务器不仅必须删除恶意的Colourama模块,还必须更改注册表以清除Visual Basic脚本。
还记得NotPetya吗?
迄今已有的证据表明,最近的两起事件都没有感染大量的人。但供应链攻击并非总是如此。2017年爆发的nopetya的磁盘刮水器可以关闭全世界的电脑是这类攻击造成破坏的最好例子之一。它是通过一个M.E.Doc的合法更新模块,这是一个在乌克兰广泛使用的税务会计应用程序.研究人员表示,最初的攻击可能需要访问法医文档的源代码,并控制该公司的网络。然后,该应用程序的后门版本内的一套传播工具使其迅速传播到世界各地。
2017年,世界看到了另一个恶意软件的爆发,也在供应链中播种,这一次是许多人使用CCleaner工具来管理硬盘驱动器.攻击是通过首先感染用于开发和分发实用程序的网络来进行的。随后,攻击者利用他们的控制,用恶意版本感染了227万台电脑。奇怪的是,先进的第二阶段有效载荷只发送到大约40台受感染的计算机,这些计算机托管在12家公司的网络中,包括三星、华硕、富士通、索尼和英特尔。随着黑客越来越难以利用终端用户访问的软件和网站来感染终端用户,这类供应链攻击可能会变得更加常见。用户应该考虑在可能的情况下扫描下载的安装程序和更新,并密切注意名称,以确保它们与他们打算安装的正式模块匹配。
你必须登录或创建帐户置评。