隨著網路安全快速發展,適應性已是生存的必要條件,不再可有可無。銀行業近期成為新型網路威脅的攻擊目標。這也是該產業有史以來,首次淪為兩種開源軟體供應鏈攻擊的目標。
在 4 月 5 日及 7 日,威脅發動者利用 NPM 平台上傳數個套件,裡面包含預先安裝的腳本,並在安裝時會執行其惡意目的。
有趣的是,從這些套件背後的提供者可追查到一個 LinkedIn 個人資料頁,而該帳號冒充為受害銀行的員工。我們起初猜想,這可能是銀行的滲透測試行為,然而在與銀行機構確認後,我們得到了一個完全相反的回應-銀行完全不知道發生了什麼事。
第一階段攻擊會利用腳本辨識受害者使用的作業系統:Windows、Linux 或 Darwin(Mac 作業系統),接著根據辨識的結果,腳本會進一步解碼 NPM 套件中相關的加密文件。
一旦完成解碼後,這些文件只有一個目的:將第二階段惡意的二進位文件下載到受害者系統上。
調查過程中,我們發現針對 Linux 設計的加密文件不會被 VirusTotal 視為有惡意。VirusTotal 是全球廣泛使用的線上服務,可用來掃描檢查文件是否帶有已知的病毒。如此一來,攻擊者就能隱身於 Linux 系統中。
攻擊者巧妙地利用 Azure 的 CDN 子網域,成功傳輸第二階段的資料體,這個做法其實相當聰明,因為 Azure 是一個合法的服務,可成功避開傳統黑名單阻擋的做法。
攻擊者甚至謹慎地挑選了在 Azure 與目標銀行合作的子網域,這樣不僅不會被發現,還提高了惡意套件的可信度,進而提高成功駭入系統的機率。
在這波攻擊中的第二階段,攻擊者選擇 Havoc 框架這項工具。Havoc 框架由 @C5pider 製作,是一套先進的後滲透攻擊發令與控制框架,可有效管理、協調和變更攻擊,以繞過不斷變化的狀況與嚴格的安全措施。
由於 Havoc 能躲過像是 Windows Defender 等基本防護,因此成為攻擊者的首選,取代了 Cobalt Strike、Sliver 和 Brute Ratel 等合法的工具套件。
2023 年 2 月,另一家銀行發現自己成為另一群網路犯罪者的目標。與第一次的事件無關,這次的攻擊使用了獨有的策略與技術,只被我們的機器學習引擎發現。
攻擊者將內含精心設計資料體的套件上傳到 NPM。這組惡意程式碼刻意設計能融入受害銀行的網站中,並維持休眠狀態,直到收到提示觸發其行動。
資料體顯示攻擊者已在登入頁面的 HTML 中辨識一組獨特的元素 ID,並設計了一組程式碼鎖定特定的登入形式的元素、秘密攔截登入數據,接著將數據傳輸至其遠端位置。
這組程式碼架勾到網頁上特定登入元素上(第 137 行),並將登入資訊傳輸到遠端位置(第 140 行)。
我們嚴密地掃描及追蹤這個元素,一路追查到銀行的行動登入頁,也就是這起攻擊的主要目標。
供應鏈安全圍繞在保護軟體開發與發佈的整個流程,從開發初期到提供給終端使用者。
傳統上,組織主要會專注於架構層級的程式漏洞偵測-面對現今先進的網路威脅,這樣的做法早已不夠用。一旦惡意開源套件進入系統中,入侵只是一瞬間的事-後續的應對措施也都會失效,換句話說,傷害已經造成。
而這樣持續擴大的差距更顯示了我們迫切需要調整策略,從原先的管理惡意軟體套件,到主動防止它們滲透到軟體開發生命週期(SDLC)中。
在這個前提下,組織必須認知到不能再以處理普通程式漏洞的作法,處理這些惡意軟體套件,而是必須採用主動、整合型安全架構,並在 SDLC 的每個階段納入防護措施。
我們預測這種目標型攻擊將會持續升級,其中同樣包含針對銀行的攻擊。這篇文章旨在於闡明所觀察到的戰術、技術與程序(TTP),進而提升大眾對這些新興威脅的認知與意識。現在我們需要保持警覺,不斷升級防禦措施,並領先攻擊者一步。
Checkmarx 供應鏈研究團隊會持續追蹤這些攻擊,若有任何進一步的發展會隨時更新。
讓我們一起努力,維護網路生態的安全!