I to separate hendelser forsøkte trusselaktører nylig å introdusere skadelig programvare i programvareutviklingsmiljøet ved to forskjellige banker via forgiftede pakker i Node Package Manager (npm)-registeret.
Forskere ved Checkmarx som observerte angrepene mener at de er de første tilfellene av motstandere som retter seg mot banker gjennom forsyningskjeden for åpen kildekode. I en rapport denne uken beskrev leverandøren de to angrepene som en del av en større trend de nylig har observert der bankene har vært de spesifikke målene.
Avanserte teknikker og målretting
"Disse angrepene viste frem avanserte teknikker, inkludert målretting mot spesifikke komponenter i nettressurser til offerbanken ved å knytte skadelige funksjoner til den," sa Checkmarx.
Leverandøren fremhevet et aprilangrep sin rapport. I hendelsen lastet en trusselaktør som utga seg som en ansatt i målbanken to ondsinnede pakker til npm-registeret. Checkmarx-forskere oppdaget en LinkedIn-profil som antydet at pakkebidragsyteren jobbet i målbanken, og antok først at pakkene var en del av en penetrasjonstest banken gjennomførte.
De to npm-pakkene inneholdt et forhåndsinstallasjonsskript som ble utført ved installasjon på et kompromittert system. Angrepskjeden utfoldet seg med skriptet som først identifiserte operativsystemet til vertssystemet. Deretter, avhengig av om operativsystemet er Windows, Linux eller MacOS, dekrypterte skriptet de riktige krypterte filene i npm-pakken. Angrepskjeden fortsatte med at de dekrypterte filene lastet ned en nyttelast i andre trinn fra en angriperkontrollert kommando-og-kontroll-server (C2).
"Angriperen brukte Azure sine CDN-underdomener for å effektivt levere nyttelasten i andre trinn," sa Checkmarx. "Denne taktikken er spesielt smart fordi den omgår tradisjonelle nektelistemetoder, på grunn av Azure's status som en legitim tjeneste." For å gjøre angrepet enda mer troverdig og vanskelig å oppdage, brukte trusselaktøren et underdomene som inneholdt navnet på målbanken.
Checkmarx sin forskning viste at nyttelasten i andre trinn var Havoc Framework, et populært rammeverk for penetrasjonstesting med åpen kildekode som organisasjoner ofte bruker for sikkerhetstesting og revisjon. Havoc har blitt et populært post-utnyttelsesverktøy blant trusselaktører på grunn av dets evne til å unndra seg Windows Defender og andre standard endepunktsikkerhetskontroller, sa Checkmarx.
«Deployering av Havoc-rammeverket ville gitt angriperen tilgang til den infiserte maskinen inne i banken's nettverk," sier Aviad Gershon, sikkerhetsforsker ved Checkmarx, i kommentarer til Dark Reading. «Derfra ville konsekvensene vært avhengige av banken's forsvar og angriperen's evner og formål – datatyveri, pengetyveri, løsepengevare osv.
Spesifikt offer
Det andre angrepet som Checkmarx rapporterte om denne uken skjedde i februar. Også her lastet trusselaktøren – helt atskilt fra angriperen i mai – opp sin egen pakke som inneholder en ondsinnet nyttelast til npm. I dette tilfellet ble nyttelasten konstruert spesielt for den målrettede banken. Den ble designet for å koble seg til et spesifikt innloggingsskjemaelement på banken'sin nettside og for å fange opp og overføre informasjon som brukere skrev inn i skjemaet da de logget på nettstedet.
Egenskaper i begge npm-pakkene gjorde dem spesifikke ikke bare for bankbransjen generelt, men også for de spesifikke bankene, sier Gershon. "Det første angrepet vi beskriver i bloggen var åpenbart rettet mot en spesifikk bank, forfalskning av en persona til en bankansatt og bruk av utformede domener som inkluderer banken'navnet, sier han. "Begge disse taktikkene ble brukt for å oppnå troverdighet og lokke bankutviklere til å laste den ned." Men i dette tilfellet, hadde en annen bruker som ikke er knyttet til banken lastet ned den ondsinnede pakken, ville de også blitt infisert, legger Gershon til.
I det andre angrepet målrettet motstanderens nyttelast et spesifikt og unikt HTML-element i en spesifikk applikasjon av en spesifikk bank, sier han. "Derfor i dette tilfellet ville denne forgiftede pakken sannsynligvis ikke ha skadet andre brukere som lastet ned og installerte den." Angripermotivet i utviklingen av pakken var å stjele påloggingsinformasjon som brukere ville ha skrevet inn i det spesifikke HTML-elementet.
Angrep som involverer bruk av forgiftede pakker på populære åpen kildekodelagre og pakkeforvaltere som f.eks NPM og PyPI har økt de siste årene. En studie som ReversingLabs utførte tidligere i år, fant faktisk en 289 % økning i angrep på open source repositories siden 2018. Målet bak mange av disse angrepene er å snike ondsinnet kode inn i programvareutviklingsmiljøer for bedrifter for å stjele sensitive data og legitimasjon, for å i det skjulte installere skadelig programvare og utføre andre ondsinnede aktiviteter.
Angrepene som Checkmarx rapporterte denne uken er de første kjente tilfellene av at banker er spesifikke mål i slike angrep.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
- kilde: https://www.darkreading.com/attacks-breaches/banks-in-attackers-crosshairs-via-open-source-software-supply-chain
- : har
- :er
- :ikke
- :hvor
- 2018
- a
- evner
- evne
- adgang
- Aktiviteter
- aktører
- Legger
- avansert
- også
- blant
- an
- og
- En annen
- Søknad
- hensiktsmessig
- April
- ER
- AS
- Eiendeler
- antatt
- At
- angripe
- Angrep
- revisjon
- Azure
- Bank
- Banking
- banknæringen
- Banker
- BE
- fordi
- bli
- vært
- bak
- være
- tro
- Blogg
- både
- men
- by
- fangst
- bære
- saken
- kjede
- Checkmarx
- kommentarer
- helt
- komponenter
- kompromittert
- gjennomført
- gjennomføre
- Konsekvenser
- inneholdt
- fortsatte
- bidragsyter
- kontroller
- Credentials
- Troverdighet
- troverdig
- crosshairs
- mørk
- Mørk lesning
- dato
- leverer
- avhengig
- avhengig
- utplasserings
- beskrive
- beskrevet
- designet
- utviklere
- utvikle
- Utvikling
- forskjellig
- oppdaget
- domener
- nedlasting
- to
- Tidligere
- effektivt
- element
- Ansatt
- kryptert
- Endpoint
- Endpoint sikkerhet
- kom inn
- Enterprise
- bedriftsprogramvare
- Miljø
- miljøer
- etc
- Eter (ETH)
- Selv
- henrettet
- Faktisk
- Februar
- Filer
- Først
- Til
- skjema
- funnet
- Rammeverk
- fra
- funksjonalitet
- Gevinst
- general
- gitt
- mål
- HAD
- skjedde
- Hard
- Ha
- he
- derav
- her.
- Fremhevet
- vert
- Men
- HTML
- HTTPS
- Hurt
- identifisering
- in
- hendelse
- inkludere
- Inkludert
- Incorporated
- Øke
- industri
- informasjon
- i utgangspunktet
- innsiden
- installere
- installasjon
- installere
- f.eks
- inn
- introdusere
- involverer
- IT
- DET ER
- jpg
- bare
- kjent
- større
- legitim
- LinkedIn profil
- linux
- Liste
- logging
- Logg inn
- maskin
- MacOS
- laget
- gjøre
- malware
- leder
- Ledere
- mange
- Kan..
- metoder
- penger
- mer
- navn
- nettverk
- node
- observerte
- of
- ofte
- on
- åpen
- åpen kildekode
- drift
- operativsystem
- or
- rekkefølge
- organisasjoner
- OS
- Annen
- ut
- egen
- pakke
- pakker
- del
- spesielt
- penetration
- plato
- Platon Data Intelligence
- PlatonData
- Populær
- sannsynligvis
- Profil
- formål
- ransomware
- Lesning
- nylig
- nylig
- registret
- i slekt
- rapporterer
- rapportert
- forskning
- forsker
- forskere
- s
- Sa
- sier
- Sekund
- sikkerhet
- sikkerhetstesting
- sensitive
- separat
- tjeneste
- showcased
- viste
- siden
- nettstedet
- Software
- programvareutvikling
- kilde
- spesifikk
- spesielt
- Standard
- status
- Studer
- underdomener
- slik
- levere
- forsyningskjeden
- strømmet
- system
- taktikk
- Target
- målrettet
- rettet mot
- mål
- teknikker
- test
- Testing
- Det
- De
- tyveri
- deres
- Dem
- deretter
- Der.
- Disse
- de
- denne
- denne uka
- dette året
- trussel
- trusselaktører
- Gjennom
- til
- også
- verktøy
- tradisjonelle
- overføre
- Trend
- prøvd
- to
- unik
- lastet opp
- upon
- bruke
- brukt
- Bruker
- Brukere
- ved hjelp av
- benyttes
- leverandør
- av
- Offer
- var
- we
- web
- Nettsted
- uke
- VI VIL
- var
- når
- om
- hvilken
- HVEM
- vinduer
- med
- arbeidet
- ville
- år
- år
- zephyrnet