GSS資安電子報0215期 【淺談銀行業首起 OSS 供應鏈網路攻擊】

重點摘要

• 2023 上半年，Checkmarx 的供應鏈研究團隊偵測到針對銀行產業常用的數個開源軟體的攻擊行為。
• 這些攻擊運用了先進的技術，包含針對受害銀行網路資產中的特定元件安裝惡意程式等。
• 攻擊者採用了欺騙性策略，例如利用假的 LinkedIn 帳號等詐騙手法建立可信度，並為各個目標客製化發令與控制（C2）中心，在合法服務的包裝下進行非法活動。
• 我們的團隊已舉報惡意開源軟體套件，並且將其移除。然而，我們也預測這種針對銀行產業軟體供應鏈的攻擊已成未來趨勢。
• 現有控制措施主要著重於偵測與管理已知的程式漏洞，無法應對這種新型攻擊。整個產業必須共同合作，加強防護措施，以抵擋惡意攻擊者。
• Checkmarx 的 Supply Chain Intelligence（智慧供應鏈）可提供有效防護，避免客戶們受到此類攻擊。

介紹

　　隨著網路安全快速發展，適應性已是生存的必要條件，不再可有可無。銀行業近期成為新型網路威脅的攻擊目標。這也是該產業有史以來，首次淪為兩種開源軟體供應鏈攻擊的目標。

剖析一號攻擊方式

　　在 4 月 5 日及 7 日，威脅發動者利用 NPM 平台上傳數個套件，裡面包含預先安裝的腳本，並在安裝時會執行其惡意目的。

假扮員工

　　有趣的是，從這些套件背後的提供者可追查到一個 LinkedIn 個人資料頁，而該帳號冒充為受害銀行的員工。我們起初猜想，這可能是銀行的滲透測試行為，然而在與銀行機構確認後，我們得到了一個完全相反的回應－銀行完全不知道發生了什麼事。

多階段攻擊

　　第一階段攻擊會利用腳本辨識受害者使用的作業系統：Windows、Linux 或 Darwin（Mac 作業系統），接著根據辨識的結果，腳本會進一步解碼 NPM 套件中相關的加密文件。

　　一旦完成解碼後，這些文件只有一個目的：將第二階段惡意的二進位文件下載到受害者系統上。

難以偵測客製化的惡意軟體

　　調查過程中，我們發現針對 Linux 設計的加密文件不會被 VirusTotal 視為有惡意。VirusTotal 是全球廣泛使用的線上服務，可用來掃描檢查文件是否帶有已知的病毒。如此一來，攻擊者就能隱身於 Linux 系統中。

利用合法網域繞過防禦機制

　　攻擊者巧妙地利用 Azure 的 CDN 子網域，成功傳輸第二階段的資料體，這個做法其實相當聰明，因為 Azure 是一個合法的服務，可成功避開傳統黑名單阻擋的做法。

　　攻擊者甚至謹慎地挑選了在 Azure 與目標銀行合作的子網域，這樣不僅不會被發現，還提高了惡意套件的可信度，進而提高成功駭入系統的機率。

Havoc 框架：攻擊者的強大工具

　　在這波攻擊中的第二階段，攻擊者選擇 Havoc 框架這項工具。Havoc 框架由 @C5pider 製作，是一套先進的後滲透攻擊發令與控制框架，可有效管理、協調和變更攻擊，以繞過不斷變化的狀況與嚴格的安全措施。

　　由於 Havoc 能躲過像是 Windows Defender 等基本防護，因此成為攻擊者的首選，取代了 Cobalt Strike、Sliver 和 Brute Ratel 等合法的工具套件。

總結一號攻擊方式中事件順序

剖析二號攻擊方式

二次突擊：不同銀行、不同攻擊者

　　2023 年 2 月，另一家銀行發現自己成為另一群網路犯罪者的目標。與第一次的事件無關，這次的攻擊使用了獨有的策略與技術，只被我們的機器學習引擎發現。

掛鈎在登入頁上

　　攻擊者將內含精心設計資料體的套件上傳到 NPM。這組惡意程式碼刻意設計能融入受害銀行的網站中，並維持休眠狀態，直到收到提示觸發其行動。

　　資料體顯示攻擊者已在登入頁面的 HTML 中辨識一組獨特的元素 ID，並設計了一組程式碼鎖定特定的登入形式的元素、秘密攔截登入數據，接著將數據傳輸至其遠端位置。

這組程式碼架勾到網頁上特定登入元素上（第 137 行），並將登入資訊傳輸到遠端位置（第 140 行）。

　　我們嚴密地掃描及追蹤這個元素，一路追查到銀行的行動登入頁，也就是這起攻擊的主要目標。

總結二號攻擊方式中事件順序

供應鏈安全觀念的轉變

　　供應鏈安全圍繞在保護軟體開發與發佈的整個流程，從開發初期到提供給終端使用者。

　　傳統上，組織主要會專注於架構層級的程式漏洞偵測－面對現今先進的網路威脅，這樣的做法早已不夠用。一旦惡意開源套件進入系統中，入侵只是一瞬間的事－後續的應對措施也都會失效，換句話說，傷害已經造成。

　　而這樣持續擴大的差距更顯示了我們迫切需要調整策略，從原先的管理惡意軟體套件，到主動防止它們滲透到軟體開發生命週期（SDLC）中。

　　在這個前提下，組織必須認知到不能再以處理普通程式漏洞的作法，處理這些惡意軟體套件，而是必須採用主動、整合型安全架構，並在 SDLC 的每個階段納入防護措施。

結論

　　我們預測這種目標型攻擊將會持續升級，其中同樣包含針對銀行的攻擊。這篇文章旨在於闡明所觀察到的戰術、技術與程序（TTP），進而提升大眾對這些新興威脅的認知與意識。現在我們需要保持警覺，不斷升級防禦措施，並領先攻擊者一步。

　　Checkmarx 供應鏈研究團隊會持續追蹤這些攻擊，若有任何進一步的發展會隨時更新。

　　讓我們一起努力，維護網路生態的安全！