Dalam dua insiden terpisah, pelaku ancaman baru-baru ini mencoba memasukkan malware ke lingkungan pengembangan perangkat lunak di dua bank berbeda melalui paket beracun di registri Node Package Manager (npm).
Para peneliti di Checkmarx yang mengamati serangan tersebut percaya bahwa serangan tersebut adalah contoh pertama dari musuh yang menargetkan bank melalui rantai pasokan perangkat lunak open source. Dalam sebuah laporan minggu ini, vendor menggambarkan dua serangan sebagai bagian dari tren yang lebih besar yang mereka amati baru-baru ini di mana bank telah menjadi target spesifik.
Teknik dan Penargetan Lanjutan
“Serangan ini memamerkan teknik canggih, termasuk menargetkan komponen tertentu di aset Web bank korban dengan melampirkan fungsionalitas berbahaya ke dalamnya,” kata Checkmarx.
Vendor menyoroti serangan April dalam laporannya. Dalam insiden tersebut, pelaku ancaman yang menyamar sebagai pegawai bank target mengunggah dua paket berbahaya ke registri npm. Peneliti Checkmarx menemukan profil LinkedIn yang menyarankan kontributor paket bekerja di bank target, dan pada awalnya berasumsi bahwa paket tersebut adalah bagian dari uji penetrasi yang dilakukan bank.
Kedua paket npm berisi skrip pra-instalasi yang dijalankan saat instalasi pada sistem yang disusupi. Rantai serangan dibuka dengan skrip pertama yang mengidentifikasi sistem operasi dari sistem host. Kemudian, tergantung pada apakah OS-nya adalah Windows, Linux, atau MacOS, skrip mendekripsi file terenkripsi yang sesuai dalam paket npm. Rantai serangan berlanjut dengan file yang didekripsi mengunduh muatan tahap kedua dari server perintah-dan-kontrol (C2) yang dikendalikan penyerang.
“Penyerang dengan cerdik memanfaatkan subdomain CDN Azure untuk mengirimkan muatan tahap kedua secara efektif,” kata Checkmarx. “Taktik ini sangat pintar karena melewati metode daftar tolak tradisional, berkat Azure'statusnya sebagai layanan yang sah.” Untuk membuat serangan semakin kredibel dan sulit dideteksi, pelaku ancaman menggunakan subdomain yang memasukkan nama bank target.
Riset Checkmarx menunjukkan payload tahap kedua adalah Havoc Framework, framework pengujian penetrasi sumber terbuka populer yang sering digunakan organisasi untuk pengujian dan audit keamanan. Havoc telah menjadi alat pasca-eksploitasi yang populer di kalangan pelaku ancaman karena kemampuannya untuk menghindari Windows Defender dan kontrol keamanan endpoint standar lainnya, kata Checkmarx.
“Menyebarkan kerangka Havoc akan memberi penyerang akses ke mesin yang terinfeksi di dalam bank's jaringan, ”kata Aviad Gershon, peneliti keamanan di Checkmarx, dalam komentar ke Dark Reading. “Dari sana, konsekuensinya [akan] bergantung pada bank'pertahanan dan penyerang'kemampuan dan tujuan kami — pencurian data, pencurian uang, ransomware, dll.”
Korban Spesifik
Serangan lain yang dilaporkan Checkmarx pada minggu ini terjadi pada bulan Februari. Di sini juga, pelaku ancaman — benar-benar terpisah dari penyerang pada bulan Mei — mengunggah paket mereka sendiri yang berisi muatan berbahaya ke npm. Dalam hal ini, payload direkayasa khusus untuk bank yang ditargetkan. Itu dirancang untuk terhubung ke elemen formulir login tertentu di bank's situs web dan untuk menangkap dan mengirimkan informasi yang dimasukkan pengguna ke dalam formulir saat masuk ke situs.
Karakteristik dalam kedua paket npm membuatnya spesifik tidak hanya untuk industri perbankan pada umumnya tetapi juga untuk bank tertentu, kata Gershon. “Serangan pertama yang kami jelaskan di blog jelas menargetkan bank tertentu, memalsukan persona pegawai bank, dan menggunakan domain buatan yang mencakup bank'namanya, ”katanya. “Kedua taktik ini digunakan untuk mendapatkan kredibilitas dan memikat pengembang bank untuk mengunduhnya.” Namun, dalam kasus ini, jika pengguna lain yang tidak terkait dengan bank mengunduh paket berbahaya, mereka juga akan terinfeksi, tambah Gershon.
Dalam serangan kedua, muatan musuh menargetkan elemen HTML yang spesifik dan unik dalam aplikasi tertentu dari bank tertentu, katanya. "Oleh karena itu dalam hal ini paket beracun ini mungkin tidak akan merugikan pengguna lain yang mengunduh dan menginstalnya." Motif penyerang dalam mengembangkan paket tersebut adalah untuk mencuri kredensial login yang akan dimasukkan pengguna ke dalam elemen HTML tertentu.
Serangan yang melibatkan penggunaan paket beracun pada repositori open source populer dan manajer paket seperti npm dan PyPI telah melonjak dalam beberapa tahun terakhir. Sebuah studi yang dilakukan ReversingLabs awal tahun ini ternyata menemukan a 289% peningkatan serangan pada repositori open source sejak 2018. Tujuan di balik banyak serangan ini adalah untuk menyelundupkan kode berbahaya ke dalam lingkungan pengembangan perangkat lunak perusahaan untuk mencuri data dan kredensial sensitif, menginstal malware secara diam-diam, dan melakukan aktivitas berbahaya lainnya.
Serangan yang dilaporkan Checkmarx minggu ini adalah contoh pertama yang diketahui dari bank yang menjadi target khusus dalam serangan tersebut.
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Otomotif / EV, Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- BlockOffset. Modernisasi Kepemilikan Offset Lingkungan. Akses Di Sini.
- Sumber: https://www.darkreading.com/attacks-breaches/banks-in-attackers-crosshairs-via-open-source-software-supply-chain
- :memiliki
- :adalah
- :bukan
- :Di mana
- 2018
- a
- kemampuan
- kemampuan
- mengakses
- kegiatan
- aktor
- Menambahkan
- maju
- juga
- antara
- an
- dan
- Lain
- Aplikasi
- sesuai
- April
- ADALAH
- AS
- Aktiva
- diasumsikan
- At
- menyerang
- Serangan
- audit
- Biru langit
- Bank
- Perbankan
- industri perbankan
- Bank
- BE
- karena
- menjadi
- menjadi
- di belakang
- makhluk
- Percaya
- Blog
- kedua
- tapi
- by
- menangkap
- membawa
- kasus
- rantai
- tanda centang
- komentar
- sama sekali
- komponen
- Dikompromikan
- dilakukan
- melakukan
- Konsekuensi
- berisi
- terus
- penyumbang
- kontrol
- Surat kepercayaan
- Kredibilitas
- kredibel
- bidik
- gelap
- Bacaan gelap
- data
- menyampaikan
- tergantung
- Tergantung
- penggelaran
- menggambarkan
- dijelaskan
- dirancang
- pengembang
- berkembang
- Pengembangan
- berbeda
- ditemukan
- domain
- Download
- dua
- Terdahulu
- efektif
- elemen
- Karyawan
- terenkripsi
- Titik akhir
- Keamanan endpoint
- masuk
- Enterprise
- perangkat lunak perusahaan
- Lingkungan Hidup
- lingkungan
- dll
- Eter (ETH)
- Bahkan
- dieksekusi
- fakta
- Februari
- File
- Pertama
- Untuk
- bentuk
- ditemukan
- Kerangka
- dari
- fungsionalitas
- Mendapatkan
- Umum
- diberikan
- tujuan
- memiliki
- terjadi
- Sulit
- Memiliki
- he
- karenanya
- di sini
- Disorot
- tuan rumah
- Namun
- HTML
- HTTPS
- Menyakiti
- mengidentifikasi
- in
- insiden
- memasukkan
- Termasuk
- Tergabung
- Meningkatkan
- industri
- informasi
- mulanya
- dalam
- install
- instalasi
- Instalasi
- contoh
- ke
- memperkenalkan
- melibatkan
- IT
- NYA
- jpg
- hanya
- dikenal
- lebih besar
- sah
- Profil LinkedIn
- linux
- Daftar
- penebangan
- masuk
- mesin
- macos
- terbuat
- membuat
- malware
- manajer
- Manajer
- banyak
- Mungkin..
- metode
- uang
- lebih
- nama
- jaringan
- simpul
- diamati
- of
- sering
- on
- Buka
- open source
- operasi
- sistem operasi
- or
- urutan
- organisasi
- OS
- Lainnya
- di luar
- sendiri
- paket
- paket
- bagian
- khususnya
- penetrasi
- plato
- Kecerdasan Data Plato
- Data Plato
- Populer
- mungkin
- Profil
- tujuan
- ransomware
- Bacaan
- baru
- baru-baru ini
- pendaftaran
- terkait
- melaporkan
- Dilaporkan
- penelitian
- peneliti
- peneliti
- s
- Tersebut
- mengatakan
- Kedua
- keamanan
- pengujian keamanan
- peka
- terpisah
- layanan
- dipamerkan
- menunjukkan
- sejak
- situs web
- Perangkat lunak
- pengembangan perangkat lunak
- sumber
- tertentu
- Secara khusus
- standar
- Status
- Belajar
- subdomain
- seperti itu
- menyediakan
- supply chain
- melonjak
- sistem
- taktik
- target
- ditargetkan
- penargetan
- target
- teknik
- uji
- pengujian
- bahwa
- Grafik
- pencurian
- mereka
- Mereka
- kemudian
- Sana.
- Ini
- mereka
- ini
- minggu ini
- tahun ini
- ancaman
- aktor ancaman
- Melalui
- untuk
- terlalu
- alat
- tradisional
- mengirimkan
- kecenderungan
- mencoba
- dua
- unik
- upload
- atas
- menggunakan
- bekas
- Pengguna
- Pengguna
- menggunakan
- dimanfaatkan
- penjaja
- melalui
- Korban
- adalah
- we
- jaringan
- Situs Web
- minggu
- BAIK
- adalah
- ketika
- apakah
- yang
- SIAPA
- Windows
- dengan
- bekerja
- akan
- tahun
- tahun
- zephyrnet.dll