OilRig APT 组织或在中东地区发动更多 IT 供应链攻击
编译:代码卫士
数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。
随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。
为此,我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯,分析供应链安全风险,提供缓解建议,为供应链安全保驾护航。
注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。
卡巴斯基公司的研究人员在最近于哈萨克斯坦阿拉木图举办的“2023 网络安全周末”活动上披露称,发现了可能由 OilRig APT 组织开发的一款新的恶意软件。
OilRig APT 组织一般使用社工技术利用受害者软件和技术漏洞实施攻击。不过研究人员发现该组织更新了武器库,转向可持久的、更隐秘的方法,通过第三方 IT 企业渗透其目标。
OilRig APT 调查
专家在2022年末开展的调查中发现,OilRig APT 组织执行 PowerShell 脚本,获取对中东地区 IT 企业终端服务器的访问权限,收集目标的凭据和敏感数据。该组织使用被盗信息渗透目标并部署依赖于微软 Exchange Web Services 的恶意软件样本,执行命令和控制通信并窃取数据。
被盗恶意软件似乎是由 OilRig 组织使用的一款更老旧恶意软件的一个变体。为了保证持久的隐秘访问权限,该组织部署了一款新的基于DLL的密码过滤器,拦截本地/域名的密码更改。这就导致攻击者接收已更新密码以及从目标邮件服务发送到受攻击者控制的 Protonmail 和 Gmail 地址的其它被盗和敏感数据。
卡巴斯基公司的资深安全研究员 Maher Yamout 指出,“OilRig 已采取下一代隐秘模式,通过复杂和大幅修改的技巧、技术和程序攻击第三方 IT 公司。调查显示,第三方攻击更加隐秘、敏捷且无法被检测到,从而使该地区的政府实体运转面临巨大风险。快速转向对供应链组成部分 IT 企业的动向表明,区域政府实体正在提高网络安全实力,导致 APT 组织另辟思路。”
研究员建议政府和企业采取如下措施,以免遭受第三方供应链攻击:
投资并构建全面的、一体化网络安全措施,保护组织机构边界以外的数据和资产安全。
利用威胁情报是关键所在。使用威胁情报服务能够使 IT 团队获得实时数据和洞察,并访问大量专业知识构筑更强大的防御能力。
在组织机构内开展渗透测试,且将第三方服务提供商包含在内。
组织机构的网络防御能力与员工一样强大,员工是第一道防线。通过各种解决方案武装员工,提高员工的网络安全意识。
定期备份数据并进行不定时扫描以维护完整性。
流行的 NPM 包依赖关系中存在远程代码执行缺陷
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
Npm 恶意包试图窃取 Discord 敏感信息和浏览器文件
微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析
速修复!热门npm 库 netmask 被曝严重的软件供应链漏洞,已存在9年
SolarWinds 供应链事件后,美国考虑实施软件安全评级和标准机制
找到软件供应链的薄弱链条
GitHub谈软件供应链安全及其重要性
揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等 35 家科技公司开源软件漏洞安全风险分析
开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析
集结30+漏洞 exploit,Gitpaste-12 蠕虫影响 Linux 和开源组件等限时赠书|《软件供应链安全—源代码缺陷实例剖析》新书上市
热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码
GitKraken漏洞可用于盗取源代码,四大代码托管平台撤销SSH密钥
因服务器配置不当,热门直播平台 Twitch 的125GB 数据和源代码被泄露
彪马PUMA源代码被盗,称客户数据不受影响
https://thecyberexpress.com/it-supply-chain-attacks-oilrig-apt-middle-east/
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。