朝鲜atacms

聚焦源代码安全,网罗国内外最新资讯! 本周发布的一份报告指出,朝鲜黑客组织 Thallium(即 APT37)专门针对一家私有股票投资通讯服务发动软件供应链攻击。 目前,该组织主要依靠钓鱼攻击如通过 Microsoft Office 文档来攻击受害者。APT37 目前利用多种方式如交付受污染的 Windows

 聚焦源代码安全,网罗国内外最新资讯!

本周发布的一份报告指出,朝鲜黑客组织 Thallium(即 APT37)专门针对一家私有股票投资通讯服务发动软件供应链攻击。

目前,该组织主要依靠钓鱼攻击如通过 Microsoft Office 文档来攻击受害者。APT37 目前利用多种方式如交付受污染的 Windows 安装程序和启用宏功能的 Office 文档攻击投资人。

01

左中括号

更改股票投资 app 的安装程序

左中括号

本周,ESTsecurity 安全响应中心 (ESRC) 报道称,朝鲜黑客组织 APT37修改了一款私有的股票投资通讯应用程序,交付恶意代码。该组织使用 Nullsoft Scriptable Install System (NSIS)(Microsoft Windows 使用的一款流行的脚本驱动安装程序编辑工具)生成了一份 Windows 可执行文件。

这份可执行文件除了包含合法股票投资应用项目的合法文件外,还包含恶意代码。研究人员至少演示了攻击者使用的两种 “XSL Script Processing” 技术。在这款股票投资平台的合法安装程序中,攻击者注入特定命令,从恶意 FTP 服务器中提取恶意 XSL 脚本,并通过内置的 wmic.exe 工具在 Windows 系统中执行。

而这一操作后的安装程序被重新包装 Nullsoft 的 NSIS,会让人以为用户正在安装的是真正的股票投资应用,但实际上却在后台偷偷运行恶意脚本。攻击的下一步是执行 VBScript ,在 %ProgramData% 目录中创建名为 “OracleCache” 、“PackageUninstall” 和 “USODrive”的文件和文件夹。

之后该 payload 连接到托管在 frog.smtper[.]co 上的命令和控制服务器,接收其它命令。

在一个具有误导性的目录 “Office 365_\Windows\Office” 中创建一个恶意调度任务“activate”,该恶意软件通过指令 Windows Scheduler 每隔15分钟运行释放代码的方式实现可持久性。

威胁行动者对受感染系统进行侦察,并在初始筛查后再机器上部署远程访问木马(RAT)来进一步执行恶意活动。

02

左中括号

利用 Excel 宏传播 payload

左中括号

研究人员还发现了Microsoft Office 文档如含有宏的 Excel 表格也在传播之前提到的 XSL 脚本 payload。

报告指出,“ESRC 关注到 Thallium 组织机构正在使用 ‘XSL Script Processing’ 技术不仅发动基于恶意文档的钓鱼攻击,而且还发动包括供应链攻击在内的利基攻击。”

研究人员指出,目前尚不清楚攻击者的攻击动机何在。不管是为了谋取钱财还是对交易人员实施监控,供应链攻击已成为当前的常见现象。

最近爆发的大规模 SolarWinds 攻击影响了超过1.8万个实体,其中不乏颇有声望的政府和非公开组织机构。

上个月,攻击者在一起供应链攻击中,通过攻击开源生态系统 RubyGems 的方式,在受感染机器中挖掘密币。

推荐阅读

卡巴斯基:朝鲜国家黑客盯上更多的新冠肺炎研究实体

朝鲜黑客被指从黑市购买Oracle Solaris 0day,入侵企业网络

朝鲜黑客被指攻击美国国防和航空航天业

原文链接

https://www.bleepingcomputer.com/news/security/north-korean-software-supply-chain-attack-targets-stock-investors/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

知秋君
上一篇 2024-07-29 16:12
下一篇 2024-07-29 15:48

相关推荐