利用可信的IT供應鏈供應商作為切入點 黑客逐漸瞄準供應鏈攻擊

越來越多的威脅行為者將供應鏈公司視為進入企業網路的切入點。

供應鏈攻擊屬於大多數威脅行為者的攻擊範圍，因為實施供應鏈攻擊涉及與其他攻擊相同的手法，包括使用社會工程或利用軟體漏洞。 軟體安全是網路安全的基礎部分，其在網路安全中起到的作用已日趨明顯。

臭名昭著的拉撒路集團(Lazarus Group)最近的活動表明，越來越多的威脅行為者開始對利用可信的IT供應鏈供應商作為企業網路的入口點感興趣。

卡巴斯基的安全研究人員最近發現了兩個獨立的活動，其中Lazarus Group滲透了一家 IT 公司的網路，這可能是危及其下游客戶的更廣泛戰略的一部分。

在其中一起事件中，Lazarus集團侵入了一家韓國安全軟體供應商的網路，並濫用該公司的軟體，在韓國一家智庫的網路上部署了兩款名為Blindingcan和Copperhedge的遠端訪問木馬(RATs)。美國網路安全與基礎設施安全域性(CISA)去年分別在8月和5月釋出了警報，警告拉撒路集團(Lazarus Group)使用這兩種rat病毒在被入侵的網路上保持存在。

卡巴斯基研究人員最近觀察到的第二起Lazarus供應鏈攻擊涉及一家位於拉脫維亞的IT 資產監控產品供應商。在這次攻擊中，Lazarus Group再次在技術提供商的網路上部署了Copperhedge 後門。

高階安全研究員Ariel Jungheit表示：“這是在一個謹慎的多階段過程中完成的，使用了兩層多個(命令和控制)伺服器。”這種攻擊導致威脅行為者只在記憶體中載入並執行Copperhedge惡意軟體。

但卡巴斯基一直無法確認Lazarus是否成功侵入了這家資產管理技術供應商的軟體產品本身。同樣，卡巴斯基也無法確定Lazarus集團是否利用其對這家資產管理軟體供應商網路的訪問來危害任何進一步的受害者。

Jungheit表示:“儘管不清楚Lazarus是如何入侵韓國安全軟體公司和拉脫維亞的資產監控技術提供商。”“從表面上看，這項發現表明Lazarus對發展供應鏈攻擊很有興趣。”

負責WannaCry勒索軟體攻擊和眾多其他惡意活動的Lazarus Group是越來越多的威脅參與者之一，它們已經開始開發利用IT供應鏈中的漏洞來瞄準企業的能力。

例如，就在本週，微軟警告稱Nobelium——SolarWinds 漏洞背後的威脅行為者，在一場危險的新活動中瞄準了受信任的雲和IT服務提供商，以在他們的客戶網路中獲得立據點。微軟稱，自5月份以來，這名黑客已經攻擊了140多個服務提供商，並攻破了其中的14個。

日益增長的攻擊者興趣

上季度，卡巴斯基觀察到至少另外兩個威脅行為者——HoneyMyte 和 BountyGlad採取了同樣的策略。

HoneyMyte 基本上是在指紋掃描器產品的安裝包中注入了一個後門，南亞國家的中央政府僱員需要使用該產品來記錄出勤率。 攻擊者並未直接針對特定供應商，而是破壞了並非由供應商執行的軟體本身的分發伺服器，

而在BountyGlad 的案例中，攻擊者用惡意下載程式替換了供應商分發伺服器上的數字證書管理軟體客戶端的安裝程式。當在受害者系統上執行時，下載程式會執行合法的安裝程式以及其他惡意程式碼。

供應鏈黑客的歷史

諸如此類的軟體供應鏈攻擊當然並不新鮮。2019年，一個名為鋇的威脅參與者闖入了硬體製造商華碩的一個自動軟體更新系統，並利用該訪問渠道向華碩系統的客戶傳播惡意軟體。這個惡意軟體——作為shadowwhammer操作的一部分發布，最終在超過40萬個系統上執行。2017年，攻擊者破壞了Avast的一個軟體構建系統，並使用該公司的CCleaner軟體傳播惡意軟體。

雖然這些攻擊引起了相當大的關注，但正是SolarWinds去年12月披露的漏洞才真正引起了人們對供應鏈安全問題的高度關注。

卡巴斯基首席安全研究員戴維·埃姆 (David Emm) 表示：“如果你考慮一下近年來我們看到的供應鏈攻擊的影響，就不難看出為什麼APT威脅行動者可能會覺得這是一種吸引人的方式。”“供應鏈攻擊破壞了供應商和下游公司之間的信任關係。”

他表示，利用受影響供應商的攻擊實際上是內部攻擊。

埃姆表示，供應鏈攻擊屬於大多數威脅行為者的攻擊範圍，因為實施供應鏈攻擊涉及與其他攻擊相同的手法，包括使用社會工程或利用軟體漏洞。

在供應鏈攻擊中，攻擊者主要搜尋存在漏洞的軟體、不安全的網路協議、未受保護的伺服器基礎結構和不安全的程式碼。它們在生成和更新過程中會中斷、更改原始碼並隱藏惡意軟體。

由於軟體由受信任的供應商生成和釋出，因此這些應用和更新已經過簽名和認證。在軟體供應鏈攻擊中，但供應商並不知道他們的應用程式或更新在公開發布時受到惡意程式碼感染，因此惡意程式碼以與應用相同的信任和許可權執行。

加強軟體供應鏈安全尤其是軟體安全，不但可以確保軟體穩定執行可信賴，也是築牢網路安全根基的方法之一。通過在軟體開發階段使用 查詢並修改程式碼問題引起的安全漏洞，提高軟體自身安全性，不但有助於軟體自身安全性的提升，而且可以避免為上下游企業帶來網路安全問題。

參讀連結：