查看原文
其他

朝鲜 APT37被指发动软件供应链攻击,瞄准股票投资人

Ax Sharma 代码卫士 2022-11-15

 聚焦源代码安全,网罗国内外最新资讯!




本周发布的一份报告指出,朝鲜黑客组织 Thallium(即 APT37)专门针对一家私有股票投资通讯服务发动软件供应链攻击。


目前,该组织主要依靠钓鱼攻击如通过 Microsoft Office 文档来攻击受害者。APT37 目前利用多种方式如交付受污染的 Windows 安装程序和启用宏功能的 Office 文档攻击投资人。


01左中括号更改股票投资 app 的安装程序左中括号


本周,ESTsecurity 安全响应中心 (ESRC) 报道称,朝鲜黑客组织 APT37修改了一款私有的股票投资通讯应用程序,交付恶意代码。该组织使用 Nullsoft Scriptable Install System (NSIS)(Microsoft Windows 使用的一款流行的脚本驱动安装程序编辑工具)生成了一份 Windows 可执行文件。

这份可执行文件除了包含合法股票投资应用项目的合法文件外,还包含恶意代码。研究人员至少演示了攻击者使用的两种 “XSL Script Processing” 技术。在这款股票投资平台的合法安装程序中,攻击者注入特定命令,从恶意 FTP 服务器中提取恶意 XSL 脚本,并通过内置的 wmic.exe 工具在 Windows 系统中执行。

而这一操作后的安装程序被重新包装 Nullsoft 的 NSIS,会让人以为用户正在安装的是真正的股票投资应用,但实际上却在后台偷偷运行恶意脚本。攻击的下一步是执行 VBScript ,在 %ProgramData% 目录中创建名为 “OracleCache” 、“PackageUninstall” 和 “USODrive”的文件和文件夹。

之后该 payload 连接到托管在 frog.smtper[.]co 上的命令和控制服务器,接收其它命令。

在一个具有误导性的目录 “Office 365_\Windows\Office” 中创建一个恶意调度任务“activate”,该恶意软件通过指令 Windows Scheduler 每隔15分钟运行释放代码的方式实现可持久性。

威胁行动者对受感染系统进行侦察,并在初始筛查后再机器上部署远程访问木马(RAT)来进一步执行恶意活动。


02左中括号利用 Excel 宏传播 payload左中括号


研究人员还发现了Microsoft Office 文档如含有宏的 Excel 表格也在传播之前提到的 XSL 脚本 payload。

报告指出,“ESRC 关注到 Thallium 组织机构正在使用 ‘XSL Script Processing’ 技术不仅发动基于恶意文档的钓鱼攻击,而且还发动包括供应链攻击在内的利基攻击。”

研究人员指出,目前尚不清楚攻击者的攻击动机何在。不管是为了谋取钱财还是对交易人员实施监控,供应链攻击已成为当前的常见现象。

最近爆发的大规模 SolarWinds 攻击影响了超过1.8万个实体,其中不乏颇有声望的政府和非公开组织机构。

上个月,攻击者在一起供应链攻击中,通过攻击开源生态系统 RubyGems 的方式,在受感染机器中挖掘密币。





推荐阅读
卡巴斯基:朝鲜国家黑客盯上更多的新冠肺炎研究实体
朝鲜黑客被指从黑市购买Oracle Solaris 0day,入侵企业网络
朝鲜黑客被指攻击美国国防和航空航天业



原文链接

https://www.bleepingcomputer.com/news/security/north-korean-software-supply-chain-attack-targets-stock-investors/


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存