[更新] 安防企业大华遭DarkSide附属团伙UNC2465供应链攻击

Mandiant 研究人员发现，Darkside 勒索软件团伙的一个附属机构（编号为 UNC2465）对一家闭路电视供应商进行了供应链攻击。UNC2465 被认为是 DARKSIDE 组织的主要附属组织之一，以及被 FireEye/Mandiant 追踪为 UNC2628 和 UNC2659 的其他附属团伙。

骗子破坏了供应商的网站，并在 Windows 应用程序中植入恶意代码，该应用程序是大华 SmartPSS  Windows 应用程序的自定义版本 ，该公司提供给其客户以控制其安全源。

“这篇文章中详述的入侵始于 2021 年 5 月 18 日，发生在公开报道的整个 DARKSIDE 计划关闭几天后（Mandiant Advantage 背景）。虽然这里没有观察到勒索软件，但 Mandiant 认为，进行 DARKSIDE 入侵的附属团体可能会使用多个勒索软件附属程序，并且可以随意在它们之间切换。” 阅读Mandiant 发表的分析。

“在 2021 年 5 月或更早的某个时候，UNC2465 可能会在 CCTV 安全摄像头提供商网站上对两个软件安装包进行木马化处理。”

该网站于 5 月 18 日首次遭到入侵，黑客一直留在组织内，直到 6 月初 Mandiant 研究人员发现供应链攻击。

攻击者使用受感染的应用程序来提供一个版本的 .NET SMOKEDHAM 后门，该后门支持键盘记录、截屏和在受感染系统上执行任意命令。

“在用户访问受害组织之前使用过的合法站点后，Mandiant Consulting 观察到在 Windows 工作站上下载的木马安装程序。” 继续分析。 “Mandiant 确认用户打算下载、安装和使用 SmartPSS 软件。图 2 显示了用于 SmartPSS 软件的下载页面的图像。”

FireEye将SMOKEDHAM后门与至少可追溯到 2019 年 4 月的 UNC2465 组织的活动相关联，并被认为是 DARKSIDE RaaS 附属机构。

在记录的攻击中，一旦部署了后门，UNC2465 就以交互方式建立了一条 NGROK 隧道，并在不到 24 小时内进行了横向移动。五天后，UNC2465 黑客返回并部署了其他工具，例如键盘记录器、Cobalt Strike BEACON，并通过转储 LSASS 内存收集凭据。

专家注意到，在这次供应链攻击中，UNC2465并没有将Darkside勒索软件作为最终的payload，但不排除网络犯罪集团可能转向新的RaaS操作。

专家建议扫描 SmartPSS 应用程序的内部网络，并搜索与 SMOKEDHAM 后门相关的妥协指标。

“UNC2465 从对网站访问者的偷渡式攻击或网络钓鱼电子邮件转变为这种软件供应链攻击，表明了一个令人担忧的转变，它为检测带来了新的挑战。虽然在最近公开的密码重用或 VPN 设备利用示例之后，许多组织现在更多地关注外围防御和双因素身份验证，但对端点的监控往往被忽视或留给传统的防病毒软件。” 报告结束。“一个全面的安全计划对于减轻 UNC2465 等复杂组织的风险至关重要，因为他们继续适应不断变化的安全形势。”

原文来自: securityaffairs.co

初始发布时间：2021-06-21

安全公告：

近日，有媒体发布名为“安防企业大华遭DarkSide附属团伙UNC2465供应链攻击”的消息，称该团伙“破坏了供应商的网站”，并在“自定义版本”的“大华Smart PSS Windows应用程序”中“植入了恶意代码”。

大华第一时间监测到相关报道并立即进行了核实，现声明如下：

1. 上述媒体消息与其所引用的“海外原文”严重不符，也与事实严重不符。

2. 此次事件中涉及的CCTV厂商为海外第三方厂商，被攻击的是海外第三方厂商网站，并非大华及其子公司。

3. 大华Smart PSS软件并未在此次事件中遭受攻击，也没有被植入恶意代码。





浙江大华技术股份有限公司

2021年6月21日