针对越南政府组织 VGCA 的软件供应链攻击

网络安全研究人员披露了一种针对越南政府证书颁发机构VGCA的供应链攻击，该攻击破坏了机构的数字签名工具包，并在系统上安装了后门。

网络安全公司ESET在本月初发现了这种“ SignSight”攻击，其中涉及修改CA网站（“ ca.gov.vn”）上托管的软件安装程序，插入名为PhantomNet或Smanager的间谍软件工具。

根据ESET的遥测，该网络攻击活动发生在2020年7月23日至8月16日，涉及的两个安装程序：“ gca01-client-v2-x32-8.3.msi”和“ gca01-client-v2-x64-8.3” .msi”（适用于32位和64位Windows系统），已被篡改并安装后门。

在将攻击报告给VGCA之后，该机构确认“他们早已知道此类网络攻击，并通知了下载该木马软件的用户。”

ESET的Matthieu Faou说：“对于APT黑客组织来说，认证机构网站的妥协是一个很好的机会，因为访问者对负责签名的国家组织高度信任。”

越南政府密码委员会授权的数字签名工具是电子身份验证计划的一部分，政府部门和私人公司使用该数字签名工具通过存储数字签名的USB令牌（也称为PKI令牌）对文档进行数字签名，通过上述驱动程序进行操作。

用户感染木马病毒的唯一方法是在手动下载并执行了官方网站上托管的受感染软件。病毒软件将启动GCA程序以掩盖该漏洞，伪装成名为“ eToken.exe”的看似无害的文件的PhantomNet后门。后门程序（最近一次编译于4月26日进行）负责收集系统信息，并通过从硬编码的命令和控制服务器（例如“ vgca.homeunix [.] org”和“ office365.blogdns”）检索的插件来部署其他恶意功能。 [.] com”），模仿相关软件的名称。

ESET表示，除越南外，菲律宾也存在受害者，但黑客的交付机制和最终目标仍然未知，对交付后的相关信息也知足甚少。

该事件强有力地说明了为什么供应链攻击正日益成为网络间谍组织中常见的攻击媒介，因为它使黑客可隐秘地同时在多台计算机上部署恶意软件。

ESET在11月披露了在韩国进行的Lazarus攻击活动，该活动使用合法的安全软件和被盗的数字证书在目标系统上分发远程管理工具（RAT）。

在上周，一个被称为Able Desktop的聊天软件被蒙古的430个府机构使用，提供HyperBro后门程序：Korplug RAT和名为Tmanger的木马。

本周发现的针对SolarWinds Orion软件的供应链攻击破坏了美国几家主要的政府机构，包括国土安全部、商务部、财政部和州政府。

Faou总结说：“恶意代码通常隐藏在许多正常代码中，因此供应链攻击通常十分隐蔽且很难被发现。”

消息及封面来源：The Hacker News ；译者：小江。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ”