Két különálló incidensben a fenyegetés szereplői a közelmúltban megpróbáltak rosszindulatú programokat bevinni két különböző bank szoftverfejlesztési környezetébe a Node Package Manager (npm) regisztrációs adatbázisában található mérgezett csomagokon keresztül.
A Checkmarx kutatói, akik megfigyelték a támadásokat, úgy vélik, hogy ők voltak az első olyan ellenfelek, amelyek a nyílt forráskódú szoftverek ellátási láncán keresztül veszik célba a bankokat. Egy e heti jelentésben az eladó a két támadást a közelmúltban megfigyelt nagyobb trend részeként írta le, ahol a bankok voltak a konkrét célpontok.
Fejlett technikák és célzás
"Ezek a támadások fejlett technikákat mutattak be, beleértve az áldozat bank webes eszközeinek bizonyos összetevőinek célba vételét rosszindulatú funkciók csatolásával." – mondta Checkmarx.
Az eladó egy áprilisi támadást emelt ki jelentésében. Az incidens során egy fenyegetőző, aki a célbank alkalmazottjának adta ki magát, két rosszindulatú csomagot töltött fel az npm nyilvántartásába. A Checkmarx kutatói felfedeztek egy LinkedIn-profilt, amely azt sugallta, hogy a csomag hozzájárulója a célbankban dolgozott, és kezdetben azt feltételezték, hogy a csomagok a bank által végzett behatolási teszt részei.
A két npm-csomag tartalmazott egy telepítés előtti szkriptet, amely egy feltört rendszerre történő telepítéskor lefut. A támadási lánc úgy bontakozott ki, hogy a szkript először azonosította a gazdagép operációs rendszerét. Ezután attól függően, hogy az operációs rendszer Windows, Linux vagy MacOS, a szkript visszafejtette a megfelelő titkosított fájlokat az npm csomagban. A támadási lánc úgy folytatódott, hogy a visszafejtett fájlok letöltöttek egy második lépcsős hasznos adatot egy támadó által vezérelt parancs- és vezérlési (C2) szerverről.
"A támadó ügyesen használta az Azure CDN-aldomainjeit a második szakasz hasznos terhelésének hatékony szállítására" - mondta Checkmarx. „Ez a taktika különösen okos, mert az Azure-nak köszönhetően megkerüli a hagyományos tiltólistás módszereket"törvényes szolgáltatás státusza.” Annak érdekében, hogy a támadást még hitelesebbé és nehezen észlelhetőbbé tegye, a fenyegetés szereplője egy aldomaint használt, amely magában foglalta a célbank nevét.
A Checkmarx kutatása kimutatta, hogy a második szakasz hasznos terhelése a Havoc Framework, egy népszerű nyílt forráskódú penetrációs tesztelési keretrendszer, amelyet a szervezetek gyakran használnak biztonsági tesztelésre és auditálásra. Checkmarx szerint a Havoc népszerű utókizsákmányolási eszközzé vált a fenyegetések szereplői körében, mivel képes kijátszani a Windows Defendert és más szabványos végponti biztonsági ellenőrzéseket.
„A Havoc keretrendszer telepítésével a támadó hozzáférhetett volna a bankon belüli fertőzött géphez"s hálózat” – mondja Aviad Gershon, a Checkmarx biztonsági kutatója a Dark Readingnek nyilatkozva. „Onnantól kezdve a következmények a banktól függtek volna"s védelme és a támadó"képességei és célja – adatlopás, pénzlopás, ransomware stb.
Konkrét áldozat
A másik támadás, amelyről Checkmarx a héten beszámolt, februárban történt. A fenyegetés szereplője – májusban teljesen elkülönülve a támadótól – itt is feltöltötte saját, rosszindulatú terhelést tartalmazó csomagját az npm-re. Ebben az esetben a hasznos terhet kifejezetten a megcélzott bank számára tervezték. Úgy tervezték, hogy egy adott bejelentkezési űrlapelemhez csatlakozzon a bankon"webhelyén, valamint olyan információk rögzítésére és továbbítására, amelyeket a felhasználók az oldalra való bejelentkezéskor az űrlapon adtak meg.
A két npm csomag jellemzői nemcsak a bankszektorra általában, hanem az egyes bankokra is jellemzőek, mondja Gershon. „Az első támadás, amit a blogban leírtunk, nyilvánvalóan egy adott bankot célzott meg, egy banki alkalmazott személyének meghamisítása, valamint olyan kialakított domainek használata, amelyek magukban foglalják a bankot is."a neve” – mondja. "Mindkét taktikát a hitelesség elnyerésére és a banki fejlesztők letöltésére csábították." Ebben az esetben azonban, ha egy másik, a bankhoz nem köthető felhasználó letölti a rosszindulatú csomagot, ők is megfertőződtek volna – teszi hozzá Gershon.
A második támadásban az ellenfél rakománya egy konkrét és egyedi HTML-elemet célzott meg egy adott bank adott alkalmazásában, mondja. "Ezért ebben az esetben ez a megmérgezett csomag valószínűleg nem ártott volna más felhasználóknak, akik letöltik és telepítik." A támadó indítéka a csomag fejlesztése során az volt, hogy ellopja azokat a bejelentkezési hitelesítő adatokat, amelyeket a felhasználók az adott HTML-elembe írtak volna be.
Mérgezett csomagok használatával járó támadások népszerű nyílt forráskódú tárolók és csomagkezelők ellen, mint pl. NPM és a PyPI megugrottak az elmúlt években. Egy tanulmány, amelyet a ReversingLabs végzett az év elején, valójában azt találta, hogy a 289%-kal nőtt a támadások száma A nyílt forráskódú tárolókon 2018 óta. A legtöbb ilyen támadás mögött az a cél, hogy rosszindulatú kód besurranása vállalati szoftverfejlesztő környezetekbe érzékeny adatok és hitelesítő adatok ellopása, rosszindulatú programok rejtett telepítése és egyéb rosszindulatú tevékenységek végrehajtása érdekében.
A Checkmarx által ezen a héten jelentett támadások az első ismert esetek, amikor a bankok konkrét célpontok voltak az ilyen támadásokban.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Autóipar / elektromos járművek, Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- BlockOffsets. A környezetvédelmi ellentételezési tulajdon korszerűsítése. Hozzáférés itt.
- Forrás: https://www.darkreading.com/attacks-breaches/banks-in-attackers-crosshairs-via-open-source-software-supply-chain
- :van
- :is
- :nem
- :ahol
- 2018
- 7
- a
- képességek
- képesség
- hozzáférés
- tevékenységek
- szereplők
- Hozzáteszi
- fejlett
- Is
- között
- an
- és a
- Másik
- Alkalmazás
- megfelelő
- április
- VANNAK
- AS
- Eszközök
- feltételezte
- At
- támadás
- Támadások
- könyvvizsgálat
- Égszínkék
- Bank
- Banking
- bankipar
- Banks
- BE
- mert
- válik
- óta
- mögött
- hogy
- Hisz
- Blog
- mindkét
- de
- by
- elfog
- visz
- eset
- lánc
- pipa
- Hozzászólások
- teljesen
- alkatrészek
- Veszélyeztetett
- lefolytatott
- vezető
- Következmények
- tartalmazott
- tovább
- hozzájáruló
- ellenőrzések
- Hitelesítő adatok
- Hitelesség
- hihető
- célkeresztet
- sötét
- Sötét olvasmány
- dátum
- szállít
- függő
- attól
- bevezetéséhez
- leírni
- leírt
- tervezett
- kimutatására
- fejlesztők
- fejlesztése
- Fejlesztés
- különböző
- felfedezett
- domainek
- letöltés
- két
- Korábban
- hatékonyan
- elem
- munkavállaló
- titkosított
- Endpoint
- Végpontbiztonság
- lépett
- Vállalkozás
- vállalati szoftver
- Környezet
- környezetek
- stb.
- Még
- végrehajtott
- tény
- február
- Fájlok
- vezetéknév
- A
- forma
- talált
- Keretrendszer
- ból ből
- funkciós
- Nyereség
- általános
- adott
- cél
- kellett
- történt
- Kemény
- Legyen
- he
- ennélfogva
- itt
- Kiemelt
- vendéglátó
- azonban
- HTML
- HTTPS
- Fáj
- azonosító
- in
- incidens
- tartalmaz
- Beleértve
- Bejegyzett
- Növelje
- ipar
- információ
- alapvetően
- belső
- telepíteni
- telepítés
- telepítése
- példa
- bele
- bevezet
- bevonásával
- IT
- ITS
- jpg
- éppen
- ismert
- nagyobb
- jogos
- LinkedIn profil
- linux
- Lista
- fakitermelés
- Belépés
- gép
- MacOS
- készült
- csinál
- malware
- menedzser
- Menedzserek
- sok
- Lehet..
- mód
- pénz
- több
- indíték
- név
- hálózat
- csomópont
- of
- gyakran
- on
- -ra
- nyitva
- nyílt forráskódú
- üzemeltetési
- operációs rendszer
- or
- érdekében
- szervezetek
- OS
- Más
- ki
- saját
- csomag
- csomagok
- rész
- különösen
- behatolás
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- valószínűleg
- profil
- cél
- ransomware
- Olvasás
- új
- nemrég
- iktató hivatal
- összefüggő
- jelentést
- Számolt
- kutatás
- kutató
- kutatók
- s
- Mondott
- azt mondja,
- Második
- biztonság
- érzékeny
- különálló
- szolgáltatás
- bemutatásra
- kimutatta,
- óta
- weboldal
- szoftver
- szoftverfejlesztés
- forrás
- különleges
- kifejezetten
- standard
- Állapot
- Tanulmány
- ilyen
- kínálat
- ellátási lánc
- ugrott
- rendszer
- taktika
- cél
- célzott
- célzás
- célok
- technikák
- teszt
- Tesztelés
- hogy
- A
- lopás
- azok
- Őket
- akkor
- Ott.
- Ezek
- ők
- ezt
- ezen a héten
- idén
- fenyegetés
- fenyegetés szereplői
- Keresztül
- nak nek
- is
- szerszám
- hagyományos
- továbbít
- tendencia
- kipróbált
- kettő
- egyedi
- feltöltve
- upon
- használ
- használt
- használó
- Felhasználók
- segítségével
- hasznosított
- eladó
- keresztül
- Áldozat
- volt
- we
- háló
- weboldal
- hét
- JÓL
- voltak
- amikor
- vajon
- ami
- WHO
- ablakok
- val vel
- dolgozott
- lenne
- év
- év
- zephyrnet