Контакты
Подписка 2024
ITSEC 2024
Форум ITSEC 2024: информационная и кибербезопасность России. Москва, Radisson Blu Belorusskaya. 15-16 октября
Участвуйте!

Цепочки поставок ПО впервые атакованы с использованием открытого кода

27/07/23

hack59-Jul-27-2023-11-04-59-1130-AM

Эксперты компании Checkmarx выявили серию атак на цепочки поставок программного обеспечения, направленных против банковского сектора. В некоторых случаях для совершения таких атак применялось открытое ПО. Подобное наблюдается врервые, согласно CNews.

Под цепочками поставок ПО принято понимать совокупность компонентов, библиотек, инструментов и техпроцессов, используемых для разработки, сборки и публикации программных продуктов.

По данным экспертов, злоумышленники использовали весьма продвинутые методы. В частности, они специально работали по конкретным компонентам веб-активов, добавляя к ним вредоносную функциональность. Для этого использовались специализированные пакеты NPM (Node Package Manager, это диспетчер пакетов для среды выполнения JavaScript Node.js). Злоумышленники также формировали специализированные командные серверы под каждый объект атаки и с их помощью эксплуатировали легитимные сервисы для незаконных действий.

Вредоносные компоненты NPM к настоящему времени удалены, их названия не раскрываются.

В ходе первой отмеченной атаки автор вредоноса загрузил в реестр NPM два вредоносных компонента, представляясь сотрудником целевого банка. Модули содержали скрипт предустановки, активировавший последовательность инфекции. Чтобы дополнительно замаскировать атаку, ее оператор создал весьма убедительный профиль в соцсети LinkedIn.

После запуска скрипт определяет операционную систему жертвы и скачивает соответствующий компонент вредоноса второй стадии с удаленного сервера. Тот обозначен субдоменом в облаке Azure с названием атакованного банка.

В Checkmarx отметили, что это крайне умная тактика, поскольку она позволяет обходить традиционные методы блокировки доступа с сомнительных доменов: Azure в большей части случаев рассматривается как доверенный ресурс.

Вредоносом второй стадии оказывается Havoc, опенсорсный фреймворк для удаленного управления, который используется как средство вторжения и создания контрольного сервера. Опять же, это позволяет обойти традиционные механизмы обнаружения угроз, которые реагируют на использование более популярных у хакеров средств — Cobalt Strike, Sliver и Brute Ratel.

В феврале 2023 г. отмечена еще одна атака со стороны уже других злоумышленников, в ходе которой в репозиторий NPM был загружен пакет, «тщательно подготовленный для скрытного внедрения в веб-сайт целевого банка; он должен был оставаться в спящем состоянии до сигнала со стороны атакующих», — указывается в публикации Checkmarx.

Говоря конкретнее, этот компонент должен был перехватывать логины и выводить информацию в инфраструктуру злоумышленников.

«Безопасность цепочек поставок вращается вокруг защиты всего процесса разработки ПО и распространения, с начальных стадий и до внедрения в системы конечного пользователя, — указывается в материале Checkmarx.Как только вредоносный опенсорсный пакет интегрируется в цепочку процессов, это уже состоявшийся взлом, против которого любые последующие контрмеры оказываются неэффективными. Иными словами, ущерб уже нанесен».

Темы:БизнесПреступленияоткрытое ПОCheckmarx
Безопасная разработка
Форум ITSEC 2024 | 08 октября | Оптимизируем инструментарий для процессов безопасной разработки
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...