Эксперты компании Checkmarx выявили серию атак на цепочки поставок программного обеспечения, направленных против банковского сектора. В некоторых случаях для совершения таких атак применялось открытое ПО. Подобное наблюдается врервые, согласно CNews.
Под цепочками поставок ПО принято понимать совокупность компонентов, библиотек, инструментов и техпроцессов, используемых для разработки, сборки и публикации программных продуктов.
По данным экспертов, злоумышленники использовали весьма продвинутые методы. В частности, они специально работали по конкретным компонентам веб-активов, добавляя к ним вредоносную функциональность. Для этого использовались специализированные пакеты NPM (Node Package Manager, это диспетчер пакетов для среды выполнения JavaScript Node.js). Злоумышленники также формировали специализированные командные серверы под каждый объект атаки и с их помощью эксплуатировали легитимные сервисы для незаконных действий.
Вредоносные компоненты NPM к настоящему времени удалены, их названия не раскрываются.
В ходе первой отмеченной атаки автор вредоноса загрузил в реестр NPM два вредоносных компонента, представляясь сотрудником целевого банка. Модули содержали скрипт предустановки, активировавший последовательность инфекции. Чтобы дополнительно замаскировать атаку, ее оператор создал весьма убедительный профиль в соцсети LinkedIn.
После запуска скрипт определяет операционную систему жертвы и скачивает соответствующий компонент вредоноса второй стадии с удаленного сервера. Тот обозначен субдоменом в облаке Azure с названием атакованного банка.
В Checkmarx отметили, что это крайне умная тактика, поскольку она позволяет обходить традиционные методы блокировки доступа с сомнительных доменов: Azure в большей части случаев рассматривается как доверенный ресурс.
Вредоносом второй стадии оказывается Havoc, опенсорсный фреймворк для удаленного управления, который используется как средство вторжения и создания контрольного сервера. Опять же, это позволяет обойти традиционные механизмы обнаружения угроз, которые реагируют на использование более популярных у хакеров средств — Cobalt Strike, Sliver и Brute Ratel.
В феврале 2023 г. отмечена еще одна атака со стороны уже других злоумышленников, в ходе которой в репозиторий NPM был загружен пакет, «тщательно подготовленный для скрытного внедрения в веб-сайт целевого банка; он должен был оставаться в спящем состоянии до сигнала со стороны атакующих», — указывается в публикации Checkmarx.
Говоря конкретнее, этот компонент должен был перехватывать логины и выводить информацию в инфраструктуру злоумышленников.
«Безопасность цепочек поставок вращается вокруг защиты всего процесса разработки ПО и распространения, с начальных стадий и до внедрения в системы конечного пользователя, — указывается в материале Checkmarx. — Как только вредоносный опенсорсный пакет интегрируется в цепочку процессов, это уже состоявшийся взлом, против которого любые последующие контрмеры оказываются неэффективными. Иными словами, ущерб уже нанесен».