保贝狗是一款个人信息保护软件
欢迎体验、使用~

银行业成为开源软件供应链攻击的目标

银行业成为开源软件供应链攻击的目标

老美的网络安全研究人员表示,他们发现了首次专门针对银行业的开源软件供应链攻击。Checkmarx 在上周发布的一份报告中表示:“这些攻击展示了先进的技术,包括通过附加恶意功能来针对受害银行网络资产中的特定组件。攻击者采用了欺骗性策略,例如创建虚假的 LinkedIn 个人资料,让每个目标看起来像是可信且定制的指挥与控制 (C2) 中心,利用合法服务进行非法活动。”

此后,npm 软件包已被报告并被删除。 包裹的名称没有透露。据称,在第一次攻击中,恶意软件作者于 2023 年 4 月上旬冒充目标银行员工,将几个软件包上传到 npm 注册表。 这些模块附带了一个预安装脚本来激活感染序列。 为了完成这个诡计,背后的威胁者创建了一个虚假的 LinkedIn 页面。启动后,该脚本会确定主机操作系统是 Windows、Linux 还是 macOS,然后使用 Azure 上包含相关银行名称的子域从远程服务器下载第二阶段恶意软件。

Checkmarx 研究人员表示:“攻击者巧妙地利用 Azure 的 CDN 子域来有效地传递第二阶段的有效负载。” “这种策略特别聪明,因为它绕过了传统的拒绝列表方法,因为 Azure 是合法服务。”入侵中使用的第二阶段有效负载是 Havoc,这是一种开源命令与控制 (C2) 框架,它越来越受到恶意行为者的关注,这些恶意行为者希望通过使用 Cobalt Strike、Sliver 和 Brute Ratel 来逃避检测。

在 2023 年 2 月检测到的针对另一家银行的不相关攻击中,对手向 npm 上传了一个软件包,该软件包“经过精心设计,可融入受害银行的网站并处于休眠状态,直到被提示采取行动为止”。具体来说,它的设计目的是秘密拦截登录数据并将详细信息泄露到攻击者控制的基础设施中。该公司表示:“供应链安全围绕着保护软件创建和分发的整个过程,从开发的开始阶段到交付给最终用户。”

供应链安全围绕着保护软件创建和分发的整个过程

“一旦恶意开源包进入管道,它本质上就是一个瞬间的破坏——使得任何后续的对策都无效。换句话说,损害已经造成。”Group-IB 的俄罗斯分支机构 F.A.C.C.T. 表示,这一事态发展正值俄语网络犯罪组织 RedCurl 于 2022 年 11 月和 2023 年 5 月入侵一家未具名的俄罗斯大型银行和一家澳大利亚公司,以窃取企业机密和员工信息,作为复杂网络钓鱼活动的一部分。该公司表示:“在过去四年半中,俄语组织 Red Curl […] 对来自英国、德国、加拿大、挪威、乌克兰和澳大利亚的公司发动了至少 34 次攻击。超过一半的攻击(20 起)发生在俄罗斯。网络间谍的受害者包括建筑、金融、咨询公司、零售商、银行、保险和法律组织。”

金融机构也一直处于攻击的接收端,利用名为 drIBAN 的网络注入工具包从受害者的计算机上执行未经授权的交易,从而绕过银行采用的身份验证和反欺诈机制。“drIBAN 的核心功能是 ATS 引擎(自动传输系统),”Cleafy 研究人员 Federico Valentini 和 Alessandro Strino 在 2023 年 7 月 18 日发布的分析中指出。“ATS 是一类网络注入,它会改变用户执行的实时合法银行转账,更改受益人并将资金转移到由 TA 或附属机构控制的非法银行账户,然后由 TA 或附属机构负责处理和洗钱。”

-=||=-收藏赞 (2)
保贝狗是一款个人信息保护产品。 » 银行业成为开源软件供应链攻击的目标

评论 抢沙发

保贝狗

保贝狗是一款免费的个人信息保护产品
大家都在用的隐私保护软件
保贝狗专注于个人信息保护的研究
实用、简单、方便、快捷

QQ联系我们微信联系我们

登录

找回密码

注册