2021年 7月
写在前面:附录总结了24种供应链攻击,原文及胶片:关注公众号私信“全景图”获取下载连接。
附录A 供应链攻击总结
本节总结了报告中确定和分析的24个供应链事件。每个事件都被攻击中涉及到的供应商所确认。使用前述的建议分类方法对案例做了分类。示意图更清楚地描绘了攻击发生过程。总结中包括的信息指本报告书写时可以获得的信息。
供应链事件列表:
A.1 KASEYA: IT 软件管理
A.2 VERKADA: 基于云安全监控方案
A.3 CODECOV: 代码管理和审计方案
A.4 WIZVERA VERAPORT: 集成安全程序
A.5 ABLE DESKTOP: 聊天软件
A.6 航天信息股份有限公司:智能税务软件套装
A.7 BIGNOX NOXPLAYER: 个人电脑和苹果电脑安卓模拟器
A.8 越南政府认证机构
A.9 APACHE NETBEANS: 开发平台
A.10 私人股票投资消息软件
A.11 CLICKSTUDIOS PASSWORDSTATE: 密码管理器
A.12 APPLE XCODE: 集成开发环境
A.13 缅甸总统网站
A.14 SOLARWINDS ORION: IT 管理和远程监控
A.15 UKRAINE SEI EB: 执行机构电子交互系统
A.16 MIMECAST: 云网络安全服务
A.17 ACCELLION: 文件传输设备软件
A.18 SITA 乘客服务系统
A.19 LEDGER: 硬件钱包
A.20 FUJITSU PROJECTWEB: 协作和项目管理软件
A.21 UNIMAX 通讯移动电话
A.22 微软 WINDOWS 硬件兼容性程序
A.23 MONPASS 认证机构
A.24 SYNNEX IT 设计-分销公司
A.1 KASEYA: IT 软件管理
Kaseya是一家专门从事远程监控和管理工具的软件服务提供商。产品为VSA(Virtual System/Server Administrator)软件,有自己的云服务器。托管服务商(Managed Service Provider)可以在本地使用VSA软件,或给kaseya的VSA云服务器发放软件许可。托管服务商把各种IT服务提供给客户。
2021年7月,攻击者利用了Kaseya自身系统的零日漏洞(CVE-2021-30116) ,攻击者能够在kaseya客户的VSA设备上,远程执行命令。Kaseya可以给所有VSA服务器发送远程更新。2021年7月2日星期五,一个更新被分发给kaseya客户的VSA,执行了攻击者的命令。这个恶意代码又在VSA管理的客户设备上,部署了勒索软件。
A.2 VERKADA: 基于云安全监控方案
Verkada给5000多家客户提供基于云的安全监控方案。2021年3月,一台生产服务器被入侵。获得特权访问的攻击者,能够访问客户设施中的安全摄像头。据称,这些特权凭证是在‘互联网上’发现的。攻击者可以访问部署在学校、监狱、医院、警察局和特斯拉工厂的超过15000个摄像头的视频和图像。一个黑客组织声称对攻击负责。
A.3 CODECOV: 代码管理和审计方案
Codecov是提供代码覆盖和测试工具软件的公司。给其他公司如IBM和惠普提供工具。2021年4月,Codecov报告由于生成Docker镜像时的一个错误,攻击者从Docker镜像中获取了一些有效的访问凭证。
一旦攻击者获得这些凭证,他们使用凭证攻陷了一个由Codecov客户使用的“上传bash脚本”,只要客户下载和执行这个脚本,攻击者能客户那里窃取数据,包括敏感信息,允许攻击者进一步访问客户资源。多个Codecov客户报告,攻击者使用从Codecov事故中偷取的信息,能够访问他们的源代码。攻击组织未知。
A.4 WIZVERA VERAPORT: INTEGRATION INSTALLATION PROGRAM
WizVera是提供身份验证、密码管理和云证书解决方案的公司。有一款名为VeraPort的安装集成产品,允许用户安装公司要求的安全软件。2020年11月,攻击者入侵了VeraPort支持的合法网站。他们替换了网站VeraPort配置,提供了恶意软件而不是预期的安全软件。
配置有WizVera数字签名,VeraPort检查下载的软件是否有有效数字签名,然而它不检查谁颁发了这个证书。通过这个机制,韩国用户访问了这个被入侵的网站,下载了恶意软件。攻击由Lazarus APT组织发动。
A.5 ABLE DESKTOP: 聊天软件
Able是一家位于蒙古的公司,给该国政府机构和商业提供软件方案。2020年6月,攻击者似乎已经访问了Able的后端并入侵了对所有客户提供软件更新的系统。攻击者在“Able桌面”应用(给Able主要产品提供即时信息的插件)中加入了恶意软件。供应商是如何被入侵仍然未知。攻击者能够强制用户安装恶意软件,从客户被感染的设备上盗取信息。攻击由APTTA428发动。
A.6 航天信息股份有限公司:智能税务软件套装
航天信息股份有限公司(Aisino)的信用信息公司通过其“金税”部门给国际客户提供纳税软件,包括“Aisino税务软件套装”。2020年六月,研究者披露“Aisino税务软件套装”遭到入侵,含有恶意软件。还不知道软件如何被攻陷,攻击的目标是什么。攻击针对在中国的企业,因为在中国,这个软件是国家税务管理系统的一部分。攻击方未知。
A.7 BIGNOX NOXPLAYER: 个人电脑和苹果电脑安卓模拟器
BigNox是一家提供仿真软件的公司。主要产品NoxPlayer是一个非常流行的安卓模拟器,支持个人电脑和苹果电脑。2021年2月,研究者报告,NoxPlayer基础设施已经遭到入侵。可能是利用工具更新机制,实际上分发了恶意软件。
一旦最初的攻击代码被分发,攻击者能收集目标信息,对特定目标进一步安装恶意软件。攻击者目标看起来是有能力调查特定目标。攻击者未知。
A.8 越南政府认证机构 (VGCA)
越南政府认证机构(Vietnamgovernmentcertificationauthority,VGCA)提供数字证书和一套应用帮助公民和企业数字化签名文件。2020年12月,研究者报告,VGCA基础设施网站遭到入侵,应用木马替换了合法二进制文件。攻击目标还不清楚,但研究者相信这可能是更大规模攻击的一部分。使用的工具表明,APT组织(TA413,TA428)可能在幕后操纵了这次攻击。
A.9 APACHE NETBEANS: 开发平台
NetBeans是Apache集成的Java开发平台。2020年5月,研究者报告,GitHub上某些NetBeans项目在所有者不知情的情况下,含有恶意软件。每个下载并使用这些项目的人会遭到感染,而且所有本地NetBeans项目也会感染木马,并上传到GitHub。
用户也感染了远程访问工具(RAT)。攻击者的目标看起来是收集私有信息,攻击似乎是一个大规模供应链攻击的一部分。在这个案例中,用户既是供应商,也是目标,GitHub仅仅是使用的共享媒介。攻击者未知。
A.10 私人股票投资消息软件
2021年1月,研究者报告,股票投资者被ThalliumAPT组织盯上,其正在入侵多个私人股票投资消息软件。攻击者在消息软件安装时加入恶意软件。恶意软件监视被感染的用户。没有使用攻击方法的可靠信息。
A.11 CLICKSTUDIOS PASSWORDSTATE: 密码管理器
ClickStudios是一家提供企业密码管理方案的公司。主要的产品是一款名为Passwordstate的工具。2021年4月,Passwordstate用来升级工具的‘升级指导’web机制遭到入侵,重定向用户下载恶意软件,而不是正常的更新。安装的恶意软件被用来从入侵系统中窃取信息。攻击者未知。
A.12 APPLE XCODE: 集成开发环境
苹果Xcode是用来开发OSX和IOS应用的开发环境。2021年3月,研究者报告,某恶意Xcode项目,使用后门来感染Xcode开发者。恶意的Xcode项目是真实项目的复制品。恶意的Xcode项目利用Xcode的一个弱点感染用户,当项目开始构建时,攻击者可以自动运行脚本。
攻击者未知,不清楚客户是否遭到过攻击。也不清楚木马Xcode项目如何交付给潜在目标,或是否交付过。
A.13 缅甸总统网站
2021年6月,研究者报告,安装在缅甸总统网站上的资源,已被入侵,并会分发恶意软件。官方没有将此次攻击归属于特定的APT组织,但强调和Mustang PandaAPT组织非常相像。
A.14 SOLARWINDS ORION: IT 管理和远程监控
SloarWinds是一家提供管理和监控软件的公司。Orion是SloarWinds网络管理系统(NMS)产品,2020年12月,发现Orion已经被入侵。大量调查表明,攻击者可能通过第三方应用或设备的零日漏洞、或暴力破解方式、社交工程等来访问SloarWinds网络 。一旦成功,攻击者花费相当长时间搜集信息。
入侵之后,一个恶意软件被注入到Orion的构建流程。客户直接下载并执行了被入侵的软件,用来收集和窃取信息。攻击来自APT29组织。
A.15 UKRAINE SEI EB: 执行机构电子交互系统
乌克兰政府和公共当局使用执行机构电子交互系统(System of Electronic Interaction of Executive Bodies ,SEI EB ),一个web门户系统来交换文档。2021年2月,据报告系统已经被入侵,攻击者成功将恶意文档上传到门户。恶意文档随后使用恶意软件感染用户,收集和窃取信息。攻击由多个APT组织发动,不属于某个特定组织。
A.16 MIMECAST: 云网络安全服务
Mimecast是一个基于云的网络安全服务供应商。在它提供的服务中,Mimecast提供电子邮件安全服务,要求客户安全连接到Minecast服务器,才能使用他们的Microsoft 365账户。在2021年1月,发现攻击者入侵了Mimecast(通过SolarWinds 供应商)。攻陷后,客户使用Mimecast颁发的证书去访问Microsoft 365服务时,攻击者获取证书,有能力中断网络连接,连接到Microsoft 365账户去偷取信息。攻击来自APT 29组织。据报道,被入侵的供应商和SolarWinds有关,但没有发生事件的可靠信息。
A.17 ACCELLION: 文件传输设备软件
Accellion是给企业提供安全软件的公司,特别是安全文件共享和协作应用。2020年12月,Accellion报告,攻击者正在利用他们文件传输设备(FileTransferAppliance,FTA)的多个零日漏洞,访问客户记录,使用Webshell窃取记录。攻击者威胁发布窃取的文件,勒索受到漏洞影响的公司。攻击由网络犯罪组织UNC2546发动。
A.18 SITA 乘客服务系统
STIA是一家专业的航空信息技术和运输信息公司。SITA的乘客服务系统,可在乘客登机的时候,给航空公司提供乘客信息,包括乘客可能会给国家造成的风险。2021年3月,据披露攻击者已经入侵了SITA服务器,从SITA的客户中访问乘客数据。某些SITA客户也报道了数据泄露事件,如印度航空,新加坡航空和马来西亚航空。
继互联网泄露数据的报告后。印度航空也报告,内网遭到入侵,数据丢失,据称此次事件和SITA有关,因为一个安全公司发现印度航空内部一台计算机的名字是“SITASERVER4”。
目前为止,仍然不知道攻击者如何访问SITA服务器,及如何访问的印度航空,或是否他们真的做过。印度航空的内网攻击由APT41组织发动。
A.19 LEDGER: 硬件钱包
Ledger是一家为加密货币提供硬件钱包技术的公司。2020年7月,攻击者获得了访问Ledger电子商务数据库的有效访问凭证。不清楚攻击者如何拿到访问凭证。被偷取的信息公开发布在网上。
攻击者利用这些窃取的数据去网络钓鱼和勒索用户,向用户提供伪造Ledger钱包,通过物理攻击偷取用户资金。当钱包连接到计算机时,需要用户输入安全秘钥,使用恶意软件感染计算机,把窃取的信息发回给攻击者。攻击者未知。
A.20 富士通 PROJECTWEB: 协作和项目管理软件
富士通ProjectWeb是一个基于云的软件,帮助公司实现在线协作、软件管理、文件共享。工具在日本政府机关中很受欢迎。2021年5月,攻击者利用ProjectWeb安装的弱点,能够访问日本政府数据。由于被入侵服务器的位置,日本空中交通管制数据也在攻击中被窃取。攻击者未知。
A.21 UNIMAX 通讯移动电话
Unimax,也被称作UMX,提供低价移动设备。UMX电话的客户包括通过美国政府生命线援助方案获得手机的个人。2020年1月,研究者报告,其移动设备预装无法删除的恶意软件,用来监视用户。即使硬件重设也无法删除恶意软件。其他被发现预安装恶意软件的移动设备制造商,传音(Transsion),则归咎于供应链上一个无法确认的厂商。攻击者未知。
A.22 微软 WINDOWS 硬件兼容程序
2021年6月,据披露,攻击者滥用微软用于验证第三方驱动程序代码签名过程,窃取和分发了一个rootkit恶意软件。通过有效的签名,恶意软件能够安装在用户系统内。攻击看起来针对中国的游戏行业。攻击者未知。
A.23 MONPASS 认证机构
MonPass是蒙古主要的认证机构。2021年2月,网站被入侵,至少一个二进制安装包被植入CobaltStrike后门。网站遭到多次入侵,发现好几个Webshell和后门。访问MonPass会下载恶意软件,立即运行。至少一个客户已经被Avast软件发现感染。
A.24 SYNNEX IT 设计-分销公司
Synnex是一个技术分销商和集成商。2020年7月,他们的系统被泄露。Synnex承认攻击和最近的Kaseya托管服务商攻击有关。攻击者使用Synnex去访问微软云环境内的客户应用程序。这些应用包括美国共和党国家委员会(National Committee of the US Republican Party ,RNC)),委员会报道其通过Synnex遭到入侵。
(完)
公网安备:11010702001450号地址:北京市经济技术开发区科谷一街8号院6号楼13层
电话:01062016873
邮箱:cpmail@codepecker.com.cn
