首次已知针对银行业的 OSS 供应链攻击

要点

介绍

在快速发展的网络安全领域，适应性不仅是人们所需要的，也是生存所必需的。银行业最近成为新型网络威胁的目标。该行业有史以来第一次明确成为两次不同的开源软件供应链攻击的目标。

剖析第一次攻击

4 月5日 至 7日 ，威胁行为者利用 NPM 平台上传了几个软件包，其中包含 预安装脚本 ，该脚本在安装时执行其恶意目标。

员工欺骗

有趣的是，这些软件包背后的贡献者链接到一个冒充目标银行员工的个人的 LinkedIn 个人资料页面。我们最初的假设是这可能是银行的渗透测试活动。然而，我们在联系该机构寻求澄清后收到的答复却描绘了一幅不同的画面——该银行并不知道这一活动。 

多阶段攻击

攻击的第一阶段涉及识别受害者操作系统的脚本：Windows、Linux 或 Darwin (MacOS)。然后，根据结果，脚本继续解码 NPM 包中包含的相关加密文件。

一旦解码，这些文件就会达到一个不祥的目的：将第二阶段的恶意二进制文件下载到受害者的系统上。

定制的恶意软件不会被发现

在我们的调查过程中，我们发现 Linux 特定的加密文件并未被 VirusTotal（一种广泛使用的用于扫描文件中已知病毒的在线服务）标记为恶意文件。这使得攻击者能够在 Linux 系统上保持秘密存在，最大限度地降低被发现的风险，并增加成功的可能性。

利用合法域名绕过防御机制

攻击者巧妙地利用Azure的CDN子域来有效地传递第二阶段的有效负载。这种策略特别聪明，因为它绕过了传统的拒绝列表方法，因为 Azure 是合法服务。

攻击者更进一步，在 Azure 上仔细选择了一个包含目标银行名称的子域。此举不仅有助于保持不被发现，而且还为恶意软件包增加了一层可信度，从而增加了成功入侵的机会。

Havoc 框架：攻击者的强大工具

Havoc  Framework 是攻击者在第二阶段攻击中选择的工具。这个先进的后利用命令和控制框架由@  C5pider精心设计，可作为管理、协调和修改攻击以绕过不断变化的情况和严格的安全措施的强大武器库。

Havoc 能够逃避 Windows Defender 等标准防御，这使其成为威胁行为者的首选，取代了 Cobalt Strike、Sliver 和 Brute Ratel 等合法工具包。

第一次工具时间顺序

第二次攻击：不同的银行，不同的威胁主体

2023 年 2 月，另一家银行发现自己成为了另一组网络犯罪分子的目标。与第一次事件无关，这次攻击实施了自己独特的策略和技术，仅被我们的机器学习引擎识别。

连接到登录页面

威胁行为者将一个包上传到 NPM，其中包含精心设计的有效负载。该恶意代码经过精心设计，可融入受害银行的网站并处于休眠状态，直到被提示采取行动为止。

有效负载显示，攻击者在登录页面的 HTML 中识别了一个唯一的元素 ID，并设计了代码来锁定特定的登录表单元素，秘密拦截登录数据，然后将其传输到远程位置。

此代码将自身挂钩到网页上的特定登录表单元素（第 137 行），并将登录数据发送到远程位置（第 140 行）。

我们严格的扫描和跟踪将此元素追溯到银行的移动登录页面，这是此次攻击的主要目标。

第二次袭击事件顺序摘要

供应链安全观念的转变

供应链安全围绕着保护软件创建和分发的整个过程，从开发的开始阶段到交付给最终用户。

传统上，组织主要关注构建级别的漏洞扫描——面对当今先进的网络威胁，这种做法已不再足够。一旦恶意开源包进入管道，它本质上就是一个瞬间的破坏——使得任何后续的对策都无效。换句话说，损害已经造成。

这种不断扩大的差距凸显了我们迫切需要将我们的策略从仅仅管理恶意软件包转变为主动防止它们渗透到我们的软件开发生命周期 (SDLC) 中。

在这种情况下，组织必须认识到他们不能像对待常规漏洞一样对待恶意软件包。他们需要采用主动、集成的安全架构，在 SDLC 的每个阶段纳入保护措施。

结论

我们预计针对性攻击将稳步升级，其中包括针对银行的攻击。我们写此博客的主要目的是阐明我们观察到的策略、技术和程序 (TTP)，并促进对这些新兴威胁的集体理解和认识。当前的需要是保持警惕，不断发展我们的防御措施，并领先威胁行为者一步。

Checkmarx 供应链研究团队正在跟踪这些攻击，并将更新任何进一步的进展。

让我们继续共同努力，维护生态系统的安全！

IOC：