最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

实时支持服务被黑以在供应链攻击中传播恶意软件

网络安全 快米云 来源:快米云 105浏览

供应链攻击

Comm100 Live Chat 应用程序的官方安装程序是一种广泛部署的 SaaS(软件即服务),企业用于客户沟通和网站访问者,在新的供应链攻击中被木马化。

CrowdStrike 的一份报告称,至少从 9 月 26 日到 9 月 29 日上午,供应商的网站上都提供了受感染的变体。

由于木马安装程序使用了有效的数字签名,因此防病毒解决方案在启动期间不会触发警告,从而允许隐蔽的供应链攻击。

后门细节

CrowdStrike 表示,攻击者将 JavaScript 后门植入到“main.js”文件中,该文件存在于以下版本的 Comm100 Live Chat 安装程序中:

  • 10.0.72 与 SHA256 哈希 6f0fae95f5637710d1464b42ba49f9533443181262f78805d3ff13bea3b8fd45
  • 10.0.8 与 SHA256 哈希 ac5c0823d623a7999f0db345611084e0a494770c3d6dd5feeba4199deee82b86

后门从硬编码的 URL(“http[:]//api.amazonawsreplay[.]com/livehelp/collect”)获取第二阶段混淆的 JS 脚本,这使攻击者可以通过远程 shell 访问受害端点命令行。

隐藏在 main.js 中的 JS 代码
JS 代码隐藏在 main.js (CrowdStrike)

CrowdStrike 观察到攻击后活动,例如部署恶意加载程序(“MidlrtMd.dll”),这些加载程序使用 DLL 顺序劫持技术从合法 Windows 进程(如“notepad.exe”)的上下文中加载有效负载,直接从内存运行。

加载程序从 C2 获取最终的有效载荷(“许可证”)并使用硬编码的 RC4 密钥对其进行解密。

疑似中国攻击者

Crowdstrike 以中等信心将这次攻击归因于中国的威胁行为者,更具体地说,是以前看到的针对亚洲在线赌博实体的集群。

这是基于以下特征技术和发现:

  • 使用聊天软件传播恶意软件
  • 使用 Microsoft 元数据合并实用程序二进制文件加载名为 MidlrtMd.dll 的恶意 DLL
  • 使用 Microsoft 和 Amazon 主题域以及“api”的命令和控制 (C2) 服务器的域命名约定。子域
  • C2 域托管在阿里巴巴基础架构上
  • 最终payload的代码包含中文注释

研究人员向 Comm100 报告了这个问题,开发人员发布了一个干净的安装程序,版本 10.0.9。强烈建议用户立即更新实时聊天应用程序。

目前,Comm100 尚未解释攻击者如何设法访问其系统并毒害合法安装程序。

昨天,加拿大网络安全中心发布了有关该事件的警报,以帮助提高可能使用木马化版本 Comm100 Live Chat 产品的组织的意识。

在帖子中,该机构强调升级到最新的非木马版本并不足以消除妥协的风险,因为威胁参与者可能已经建立了持久性。

有关感染迹象和危害指标的更多详细信息,请查看CrowdStrike 报告的底部部分。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 实时支持服务被黑以在供应链攻击中传播恶意软件