银行成为攻击者盯上的目标,原因是暗网开源软件供应链。

在单独的有针对性事件中,威胁行为者试图上传恶意软件到Node Package Manager注册表,以获取访问权限并窃取凭据。
银行成为暗网黑客的攻击目标

在两起单独的事件中,威胁行为者最近试图通过Node Package Manager (npm)注册表上的恶意软件包,在两家不同银行的软件开发环境中引入恶意软件。

观察这些攻击的Checkmarx研究人员认为,这是对银行进行开源软件供应链攻击的首次实例。该公司在本周的一份报告中描述了这两起攻击,称这是他们最近观察到的银行成为特定目标的较大趋势的一部分。

高级技术和定向攻击

Checkmarx表示:“这些攻击展示了高级技术,包括通过将恶意功能附加到受害银行的Web资产的特定组件上,对其进行定向攻击。”

该供应商在其报告中强调了四月份的一次攻击事件。在这次事件中,威胁行为者冒充目标银行的员工,将两个恶意软件包上传到npm注册表。Checkmarx的研究人员发现了一个LinkedIn个人资料,表明软件包的贡献者在目标银行工作,并最初认为这些软件包是银行正在进行的渗透测试的一部分。

这两个npm软件包包含一个预安装脚本,安装到受感染系统后会执行该脚本。攻击链首先通过脚本识别主机系统的操作系统。然后,根据操作系统是Windows、Linux还是MacOS,脚本会解密npm软件包中的适当加密文件。攻击链继续进行,解密的文件从攻击者控制的命令与控制(C2)服务器下载第二阶段的payload。

“攻击者巧妙地利用了Azure的CDN子域名来有效地传递第二阶段的payload,” Checkmarx表示。“这种策略特别巧妙,因为它绕过了传统的拒绝列表方法,这是由于Azure作为一个合法服务的状态。”为了使攻击更加可信和难以被检测,威胁行为者使用了一个包含目标银行名称的子域名。

Checkmarx的研究显示,第二阶段的payload是Havoc Framework,这是一个流行的开源渗透测试框架,组织通常用于安全测试和审计。由于Havoc能够规避Windows Defender和其他标准端点安全控制,它已成为威胁行为者中流行的后渗透工具,Checkmarx表示。

Checkmarx的安全研究员Aviad Gershon在接受Dark Reading采访时说:“部署Havoc框架将使攻击者可以访问银行网络内的受感染计算机。”“接下来的后果将取决于银行的防御能力以及攻击者的能力和目的,可能涉及数据盗窃、资金盗窃、勒索软件等。”

特定受害者

Checkmarx在本周报告的另一起攻击发生在二月份。同样,与五月份的攻击者完全不同,这个威胁行为者上传了一个包含恶意载荷的自己的软件包到npm。在这种情况下,这个恶意载荷是专门为目标银行设计的。它被设计成钩住银行网站上特定的登录表单元素,并在用户登录网站时捕获和传输用户在表单中输入的信息。

Gershon表示,这两个npm软件包的特点不仅适用于银行业,而且还特定于特定的银行。“我们在博客中描述的第一次攻击显然是针对特定的银行,伪造了银行员工的身份,并使用包含银行名称的伪造域名,”他说。“这两种策略都是为了增加可信度,引诱银行开发人员下载它。”然而,在这种情况下,如果与银行无关的其他用户下载了这个恶意软件包,他们也会被感染,Gershon补充道。

在第二次攻击中,攻击者的恶意载荷针对特定银行特定应用程序中的特定和唯一的HTML元素,他说。“因此,在这种情况下,这个被污染的软件包可能不会对下载和安装它的其他用户造成伤害。”攻击者开发这个软件包的动机是窃取用户在特定HTML元素中输入的登录凭据。

近年来,涉及在流行的开源软件仓库和包管理器(如npm和PyPI)上使用被污染软件包的攻击急剧增加。事实上,ReversingLabs今年早些时候进行的一项研究发现,自2018年以来,对开源软件仓库的攻击增加了289%。这些攻击的目标是将恶意代码悄悄地混入企业软件开发环境,窃取敏感数据和凭据,暗中安装恶意软件并进行其他恶意活动。

Checkmarx本周报告的这些攻击是已知的首次针对银行的特定目标的案例。

推荐阅读:

暗网和灰产的关系:暗网是灰产的温床和市场

揭秘互联网上黑吃黑的黑色产业黑幕

  • 点赞
  • 打赏
请选择打赏方式
  • ERC-20
  • TRC-20