Недавно в двух отдельных инцидентах злоумышленники попытались внедрить вредоносное ПО в среду разработки программного обеспечения в двух разных банках через отравленные пакеты в реестре Node Package Manager (npm).
Исследователи из Checkmarx, наблюдавшие за этими атаками, полагают, что это первые случаи нападения злоумышленников на банки через цепочку поставок программного обеспечения с открытым исходным кодом. В отчете на этой неделе поставщик описал эти две атаки как часть более широкой тенденции, которую они наблюдали в последнее время, когда конкретными целями были банки.
Передовые методы и таргетинг
«Эти атаки продемонстрировали передовые методы, в том числе нацелены на определенные компоненты веб-активов банка-жертвы путем прикрепления к ним вредоносных функций», Чекмаркс сказал.
В своем отчете поставщик выделил апрельскую атаку. В ходе инцидента злоумышленник, выдававший себя за сотрудника целевого банка, загрузил в реестр npm два вредоносных пакета. Исследователи Checkmarx обнаружили профиль LinkedIn, в котором говорилось, что разработчик пакета работал в целевом банке, и первоначально предположили, что пакеты были частью теста на проникновение, который проводил банк.
Два пакета npm содержали сценарий предварительной установки, который выполнялся при установке на взломанную систему. Цепочка атак разворачивалась, когда сценарий сначала идентифицировал операционную систему хост-системы. Затем, в зависимости от того, какая ОС — Windows, Linux или MacOS, скрипт расшифровывал соответствующие зашифрованные файлы в пакете npm. Цепочка атак продолжилась тем, что расшифрованные файлы загружали полезную нагрузку второго этапа с контролируемого злоумышленником сервера управления и контроля (C2).
«Злоумышленник умело использовал субдомены Azure CDN для эффективной доставки полезной нагрузки второго этапа», — сказал Чекмаркс. «Эта тактика особенно умна, поскольку она обходит традиционные методы запретных списков, благодаря Azure"имеет статус законной услуги». Чтобы сделать атаку еще более достоверной и труднообнаружимой, злоумышленник использовал субдомен, включающий имя целевого банка.
Исследование Checkmarx показало, что полезной нагрузкой второго этапа является Havoc Framework, популярная среда тестирования на проникновение с открытым исходным кодом, которую организации часто используют для тестирования и аудита безопасности. По словам Чекмаркса, Havoc стал популярным инструментом после эксплуатации среди злоумышленников из-за его способности обходить Защитник Windows и другие стандартные средства контроля безопасности конечных точек.
«Развертывание платформы Havoc дало бы злоумышленнику доступ к зараженной машине внутри банка."s network», — говорит Авиад Гершон, исследователь безопасности из Checkmarx, в комментариях Dark Reading. «Оттуда последствия [были бы] зависеть от банка"защита и нападающий"его способности и цели — кража данных, кража денег, программы-вымогатели и т. д.».
Конкретная жертва
Другая атака, о которой Checkmarx сообщил на этой неделе, произошла в феврале. В этом случае злоумышленник, совершенно отдельный от злоумышленника в мае, также загрузил в npm собственный пакет, содержащий вредоносную полезную нагрузку. В этом случае полезная нагрузка была разработана специально для целевого банка. Он был разработан для подключения к определенному элементу формы входа в банк."s, а также для сбора и передачи информации, которую пользователи вводят в форму при входе на сайт.
Характеристики обоих пакетов npm сделали их специфичными не только для банковской отрасли в целом, но и для конкретных банков, говорит Гершон. «Первая атака, которую мы описываем в блоге, очевидно, была нацелена на конкретный банк, фальсифицировала личность банковского служащего и использовала специально созданные домены, включающие в себя название банка."его имя», — говорит он. «Обе эти тактики использовались для того, чтобы завоевать доверие и побудить разработчиков банков загрузить его». Однако в этом случае, если бы вредоносный пакет скачал другой пользователь, не связанный с банком, он тоже был бы заражен, добавляет Гершон.
По его словам, во второй атаке полезная нагрузка злоумышленника была нацелена на конкретный и уникальный элемент HTML в конкретном приложении конкретного банка. «Следовательно, в данном случае этот отравленный пакет, вероятно, не повредит другим пользователям, загружающим и устанавливающим его». Мотивом злоумышленника при разработке пакета было украсть учетные данные для входа, которые пользователи вводили в определенный элемент HTML.
Атаки с использованием отравленных пакетов на популярные репозитории с открытым исходным кодом и менеджеры пакетов, такие как НПМ и PyPI в последние годы резко возросли. Исследование, проведенное ReversingLabs ранее в этом году, выявило Увеличение атак на 289% на репозитории с открытым исходным кодом с 2018 года. Целью многих из этих атак является скрыть вредоносный код в среду разработки корпоративного программного обеспечения для кражи конфиденциальных данных и учетных данных, тайной установки вредоносного ПО и выполнения других вредоносных действий.
Атаки, о которых Checkmarx сообщил на этой неделе, являются первыми известными случаями, когда банки становятся конкретными целями таких атак.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Автомобили / электромобили, Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- Смещения блоков. Модернизация права собственности на экологические компенсации. Доступ здесь.
- Источник: https://www.darkreading.com/attacks-breaches/banks-in-attackers-crosshairs-via-open-source-software-supply-chain
- :имеет
- :является
- :нет
- :куда
- 2018
- 7
- a
- способности
- способность
- доступ
- активно
- актеры
- Добавляет
- продвинутый
- причислены
- среди
- an
- и
- Другой
- Применение
- соответствующий
- апрель
- МЫ
- AS
- Активы
- предполагается,
- At
- атаковать
- нападки
- аудит
- Лазурный
- Банка
- Банковское дело
- банковская отрасль
- Банки
- BE
- , так как:
- становиться
- было
- за
- не являетесь
- верить
- Блог
- изоферменты печени
- но
- by
- захватить
- нести
- случаев
- цепь
- галочка
- Комментарии
- полностью
- компоненты
- Ослабленный
- проводятся
- проведение
- Последствия
- содержащегося
- продолжающийся
- участник
- контрольная
- Полномочия
- Доверие
- заслуживающий доверия
- перекрестье
- темно
- Темное чтение
- данным
- доставить
- зависимый
- в зависимости
- развертывание
- описывать
- описано
- предназначенный
- обнаруживать
- застройщиков
- развивающийся
- Развитие
- различный
- открытый
- доменов
- скачать
- два
- Ранее
- фактически
- элемент
- Сотрудник
- зашифрованный
- Конечная точка
- Защита конечных точек
- вошел
- Предприятие
- корпоративное программное обеспечение
- Окружающая среда
- средах
- и т.д
- Даже
- выполненный
- факт
- февраль
- Файлы
- Во-первых,
- Что касается
- форма
- найденный
- Рамки
- от
- функциональные возможности
- Gain
- Общие
- данный
- цель
- было
- произошло
- Жесткий
- Есть
- he
- следовательно
- здесь
- Выделенные
- кашель
- Однако
- HTML
- HTTPS
- Опт
- идентифицирующий
- in
- инцидент
- включают
- В том числе
- включенный
- Увеличение
- промышленность
- информация
- первоначально
- внутри
- устанавливать
- установка
- Установка
- пример
- в
- вводить
- с участием
- IT
- ЕГО
- JPG
- всего
- известный
- больше
- законный
- Профиль пользователя LinkedIn
- Linux
- Список
- каротаж
- Войти
- машина
- MacOS
- сделанный
- сделать
- вредоносных программ
- менеджер
- Менеджеры
- многих
- Май..
- методы
- деньги
- БОЛЕЕ
- мотив
- имя
- сеть
- узел
- of
- .
- on
- на
- открытый
- с открытым исходным кодом
- операционный
- операционная система
- or
- заказ
- организации
- OS
- Другое
- внешний
- собственный
- пакет
- пакеты
- часть
- особенно
- проникновение
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Популярное
- вероятно
- Профиль
- цель
- вымогателей
- Reading
- последний
- недавно
- реестра
- Связанный
- отчету
- Сообщается
- исследованиям
- исследователь
- исследователи
- s
- Сказал
- говорит
- Во-вторых
- безопасность
- чувствительный
- отдельный
- обслуживание
- продемонстрированы
- показал
- с
- сайте
- Software
- разработка программного обеспечения
- Источник
- конкретный
- конкретно
- стандарт
- Статус:
- Кабинет
- такие
- поставка
- цепочками поставок
- хлынули
- система
- тактика
- цель
- целевое
- направлены
- направлена против
- снижения вреда
- тестXNUMX
- Тестирование
- который
- Ассоциация
- кража
- их
- Их
- тогда
- Там.
- Эти
- они
- этой
- На этой неделе
- В этом году
- угроза
- актеры угрозы
- Через
- в
- слишком
- инструментом
- традиционный
- передавать
- тенденция
- пыталась
- два
- созданного
- загружено
- на
- использование
- используемый
- Информация о пользователе
- пользователей
- через
- использовать
- продавец
- с помощью
- Жертва
- законопроект
- we
- Web
- Вебсайт
- неделя
- ЧТО Ж
- были
- когда
- будь то
- , которые
- КТО
- окна
- работавший
- бы
- год
- лет
- зефирнет