생성 데이터 인텔리전스

사이버 보안

오픈 소스 소프트웨어 공급망을 통해 공격자의 십자선에 있는 은행

Plato에 의해 재발행
Plato에 의해 재발행

시간

조회 수 : 140

두 건의 별도 사건에서 위협 행위자는 최근 npm(Node Package Manager) 레지스트리의 중독된 패키지를 통해 서로 다른 두 은행의 소프트웨어 개발 환경에 맬웨어를 도입하려고 시도했습니다.

이 공격을 관찰한 Checkmarx의 연구원들은 공격자가 오픈 소스 소프트웨어 공급망을 통해 은행을 표적으로 삼는 최초의 사례라고 생각합니다. 이번 주 보고서에서 벤더는 은행이 특정 표적이 된 최근 관찰한 더 큰 추세의 일부로 두 가지 공격을 설명했습니다.

고급 기술 및 타겟팅

"이러한 공격은 악성 기능을 첨부하여 피해자 은행의 웹 자산에 있는 특정 구성 요소를 대상으로 하는 고급 기술을 보여주었습니다." 체크마르크스가 말했다..

벤더는 보고서에서 XNUMX월 공격을 강조했습니다. 이 사건에서 대상 은행 직원으로 가장한 위협 행위자는 npm 레지스트리에 두 개의 악성 패키지를 업로드했습니다. Checkmarx 연구원은 패키지 제공자가 대상 은행에서 근무하고 있음을 시사하는 LinkedIn 프로필을 발견했으며 처음에는 패키지가 은행이 수행하는 침투 테스트의 일부라고 가정했습니다.

두 개의 npm 패키지에는 손상된 시스템에 설치할 때 실행되는 사전 설치 스크립트가 포함되어 있습니다. 먼저 호스트 시스템의 운영 체제를 식별하는 스크립트와 함께 공격 체인이 전개되었습니다. 그런 다음 OS가 Windows, Linux 또는 MacOS인지 여부에 따라 스크립트는 npm 패키지에서 적절한 암호화 파일을 해독했습니다. 공격 체인은 공격자가 제어하는 ​​명령 및 제어(C2) 서버에서 XNUMX단계 페이로드를 다운로드하는 해독된 파일로 계속되었습니다.

Checkmarx는 “공격자는 Azure의 CDN 하위 도메인을 교묘하게 활용하여 XNUMX단계 페이로드를 효과적으로 전달했습니다. "이 전술은 Azure로 인해 기존의 거부 목록 방법을 우회하기 때문에 특히 영리합니다.'합법적인 서비스로서의 지위.” 공격을 더욱 신뢰할 수 있고 탐지하기 어렵게 만들기 위해 공격자는 대상 은행의 이름을 포함하는 하위 도메인을 사용했습니다.

Checkmarx의 연구에 따르면 조직에서 보안 테스트 및 감사에 자주 사용하는 인기 있는 오픈 소스 침투 테스트 프레임워크인 Havoc 프레임워크가 XNUMX단계 페이로드인 것으로 나타났습니다. Havoc은 Windows Defender 및 기타 표준 엔드포인트 보안 컨트롤을 회피할 수 있기 때문에 공격자들 사이에서 인기 있는 악용 후 도구가 되었습니다. Checkmarx는 말했습니다.

“Havoc 프레임워크를 배포하면 공격자가 은행 내부의 감염된 시스템에 액세스할 수 있습니다.'s 네트워크”라고 Checkmarx의 보안 연구원인 Aviad Gershon은 Dark Reading에 대한 논평에서 말합니다. “그때부터 그 결과는 은행에 달려 있습니다.'방어와 공격자'의 능력과 목적 — 데이터 절도, 금전 절도, 랜섬웨어 등.”

특정 피해자

Checkmarx가 이번 주에 보고한 다른 공격은 XNUMX월에 발생했습니다. 여기에서도 XNUMX월에 공격자와 완전히 분리된 위협 행위자가 악성 페이로드가 포함된 자체 패키지를 npm에 업로드했습니다. 이 경우 페이로드는 대상 은행을 위해 특별히 설계되었습니다. 은행의 특정 로그인 양식 요소에 연결되도록 설계되었습니다.'의 웹 사이트에 로그인하고 사용자가 사이트에 로그인할 때 양식에 입력한 정보를 캡처하고 전송합니다.

Gershon은 두 npm 패키지의 특성으로 인해 일반적으로 은행 업계뿐만 아니라 특정 은행에도 적용된다고 말했습니다. “블로그에서 설명하는 첫 번째 공격은 분명히 특정 은행을 표적으로 삼고 은행 직원의 페르소나를 위조하고 은행을 포함하는 조작된 도메인을 사용하는 것이었습니다.'이름"이라고 말했다. "이 두 전술 모두 신용을 얻고 은행 개발자가 다운로드하도록 유인하기 위해 사용되었습니다." 그러나 이 경우 은행과 관련이 없는 다른 사용자가 악성 패키지를 다운로드했다면 그들도 감염되었을 것이라고 Gershon은 덧붙입니다.

두 번째 공격에서 공격자의 페이로드는 특정 은행의 특정 애플리케이션에 있는 특정하고 고유한 HTML 요소를 표적으로 삼았다고 그는 말합니다. "따라서 이 경우 이 중독된 패키지는 다른 사용자가 다운로드하고 설치하는 데 피해를 주지 않았을 것입니다." 패키지를 개발하는 공격자의 동기는 사용자가 특정 HTML 요소에 입력했을 로그인 자격 증명을 훔치는 것이었습니다.

다음과 같은 인기 있는 오픈 소스 리포지토리 및 패키지 관리자에서 중독된 패키지 사용과 관련된 공격 npmPyPI 최근 몇 년 동안 급증했습니다. ReversingLabs가 올해 초 실시한 연구에 따르면 실제로 공격 289% 증가 2018년부터 오픈 소스 리포지토리에서. 이러한 많은 공격의 목표는 악성 코드 몰래 엔터프라이즈 소프트웨어 개발 환경에 침입하여 중요한 데이터 및 자격 증명을 훔치고, 은밀하게 맬웨어를 설치하고, 기타 악의적인 활동을 수행합니다.

Checkmarx가 이번 주에 보고한 공격은 은행이 그러한 공격의 특정 표적이 된 것으로 알려진 최초의 사례입니다.

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.