越南政府认证机构遭软件供应链攻击

斯洛伐克互联网安全公司 ESET 在本月初发现，该 “SignSight” 攻击牵涉修改托管在该认证机构网站 (“ca.gov.vn”) 上的软件安装程序，以安装间谍软件工具 PhantomNet 或 Smanager。

ESET 公司的遥测数据显示，这次攻击事件发生的时间至少是在2020年7月23日至7月23日，两个安装程序 “"gca01-client-v2-x32-8.3.msi" 和 "gca01-client-v2-x64-8.3.msi"（32位和64位 Windows 系统）被篡改包含该后门。

VGCA 获悉该攻击后，证实在收到通知前就发现了攻击，已通知下载该木马化软件的用户。ESET 公司的研究员 Matthieu Faou 表示，“认证机构受陷是 APT 组织的良好机会，因为访客可能对负责数字化签名的国有组织机构拥有很高的信任。“

该数字签名工具是越南政府密码协会电子验证计划的一部分，供政府部门和私营企业通过存储数字签名并要求上述驱动进行运营的 USB 令牌（也被称为 PKI 令牌）对文档进行数字化签名。因此，用户可能遭感染的场景是，用户手动下载托管在官网上的失陷软件并在目标系统上执行。安装经修改的软件后，该软件会启动真正的 GCA 项目以掩盖数据泄露事件并运行伪装成看似无害文件 “eToken.exe” 的 PhantomNet 后门。

该后门的最近编译时间是在4月26日，负责收集系统信息，而且通过从硬编码的仿造 VGCA 名称和热门生产软件的命令和控制服务器（如 “vgca.homeunix[.]org” 和 “office365.blogdns[.]com”）检索的插件来部署其它恶意能力。

ESET 公司表示，虽然除了越南外还在菲律宾发现受害者，但其交付机制尚不知晓。虽然攻击者的最终目标尚不明确，但攻陷后活动的信息很少或没有。

这起事件说明了为何供应链攻击正成为网络监控组织中的一个常见攻击向量，因为它可导致攻击者在很多计算机上秘密地部署恶意软件。

11月，ESET 公司披露了在韩国发生的 Lazarus 活动，它使用合法的安全软件和被盗的数字化证书在目标系统上分发远程管理工具 (RATs)。上周，由430个蒙古政府机构使用的聊天软件 Able Desktop 被滥用于交付 HyperBro 后门、Korplug RAT 和另外一款木马 Tmanger。最近，针对 SolarWinds Orion 软件的供应链攻击被用于攻陷多个重要的美国政府机构，包括国土安全局、商务部、财政部和国务院等。

Faou 总结称，“供应链攻击通常难以发现，因为恶意代码通常隐藏在很多合法代码中，使得更加难以发现。”