[[373471]]

ESET的研究人員發現了一起針對越南政府網站的供應鏈攻擊，就在Able Desktop軟件遭受供應鏈攻擊的幾周后，越南政府認證機構(VGCA)的網站ca.gov.vn又發生了一起類似的攻擊。攻擊者修改了該網站上可供下載的兩個安裝程序，并添加了一個后門，以攻擊合法應用程序的用戶。

ESET的研究人員在2020年12月初發現了這種新的供應鏈攻擊，并通知了受攻擊的組織和VNCERT。研究人員認為，截至2020年8月底，該網站并沒有提供受攻擊的軟件安裝程序，ESET的追蹤研究數據也并沒有表明受攻擊的安裝程序已傳播到其他任何地方。越南政府認證機構也承認，他們在ESET通知之前就檢測到了這次攻擊，并通知了下載木馬軟件的用戶。

越南的供應鏈攻擊

在越南，數字簽名非常普遍，因為數字簽名的文檔具有與“濕”簽名相同的可執行性。根據第130/2018號法令，用于簽署文件的加密證書必須由包括VGCA在內的授權證書提供商之一授予，VGCA是政府密碼委員會的一部分，該委員會又歸屬新聞和通信部。

除了頒發證書，VGCA還開發和發布了數字簽名工具包。越南政府用它來簽署數字文件，很可能私人公司也用它。對于APT小組來說，認證機構網站的攻擊是一個很好的機會，因為訪問者可能會對負責數字簽名的國家組織高度信任。

如圖1所示，這些程序似乎部署在黨和國家機構中。

ca.gov.vn的屏幕截圖

根據ESET的分析，至少從2020年7月23日到2020年8月16日，ca.gov.vn就已經受到攻擊。有兩個安裝程序可以下載，gca01-client-v2-x32-8.3.msi和gca01-client- v2-x64-8.3.msi被修改為包含了一個名為PhantomNet或SManager的惡意軟件，NTT Security最近對該軟件進行了分析。目前ESET能夠確認這些安裝程序是通過HTTPS協議從ca.gov.vn下載的，所以研究人員認為這不太可能是中間人攻擊。指向惡意安裝程序的URL為：

來自VirusTotal的數據也證實了這一點，如圖2所示。

VirusTotal截圖，它顯示了木馬安裝程序下載URL的位置

木馬安裝程序沒有正確簽名，但是我們注意到干凈的GCA安裝程序也沒有正確簽名(該對象的數字簽名未驗證)，官方和木馬MSI都使用分配給Safenet公司的證書。

圖3是供應鏈攻擊的摘要，要想被破解，用戶必須手動下載并執行官方網站上的破解軟件。

供應鏈攻擊的簡化方案

下載并執行后，安裝程序將啟動正版GCA程序和惡意文件。惡意文件被寫入C：\ Program Files \ VGCA \ Authentication \ SAC \ x32 \ eToken.exe。通過安裝合法程序，攻擊者可以確保最終用戶不會輕易注意到這種攻擊。

這個惡意文件是一個簡單的dropper ，它提取名為7z.cab的Windows cabinet文件(.cab)，其中包含后門。

如果dropper作為管理員運行，則后門將被寫入c:\ windows \ appatch\ netapi32.dll，并且為了持久性攻擊，dropper將惡意DLL注冊為服務。

如果以普通用戶身份運行，則后門將寫入%TEMP%\ Wmedia \

PhantomNet

后門由其開發人員命名為Smanager_ssl.DLL，但研究人員使用的是PhantomNet，因為這是該后門的較舊版本中使用的項目名稱。最新版本是在2020年4月26日，即在供應鏈攻擊發生將近兩個月之前編譯的。除越南外，研究人員在菲律賓也看到了受害者，但不幸的是，研究人員沒有發現這些示例中的傳播機制。

這個后門很簡單，大部分的惡意功能可能是通過額外的插件來部署的。它可以檢索受害者的代理配置，并使用它接觸到命令和控制(C&C)服務器，這表明目標很可能在一個公司網絡中運行。

PhantomNet使用HTTPS協議與其硬編碼的C&C服務器進行通信： vgca.homeunix[.]org和office365.blogdns[.]com。為了防止中間人攻擊，PhantomNet使用SSPI庫中的函數實現證書固定。在與C&C服務器的第一次連接期間下載證書，然后將其存儲在Windows證書存儲區中。

除了使用動態DNS提供程序外，有趣的是注意到第一個子域的名稱vgca是為了模仿越南政府證書頒發機構的名稱而選擇的。

攻擊者可以使用以下五個命令來控制植入程序:

在VirusTotal上，研究人員找到了一個與上述導出匹配的插件。它是一個調試版本，根據其PDB路徑和其他調試路徑而命名為SnowballS：

初步的粗略分析表明，該工具可以用于橫向移動，因為它嵌入了Invoke-Mimikatz。invoke-mimikatz是powersploit滲透測試套裝中的一個powershell版本的mimikatz工具，用來抓取windows操作系統中的密碼。它還可以收集有關受害設備和用戶帳戶的信息。這表明PhantomNet可以接收額外的和復雜的插件，這些插件可能只部署在惡意軟件運營商特別感興趣的設備上。

在越南的攻擊事件中，研究人員時無法恢復有關攻擊后活動的數據，因此研究人員無法了解攻擊者的最終目標。

總結

借助Able Desktop的攻擊威力，Lazarus對WIZVERA VeraPort的攻擊以及最近對SolarWinds Orion的供應鏈攻擊，可以看到，供應鏈攻擊是網絡間諜組織非常常見的攻擊途徑。在本文的示例中，攻擊者就是攻擊了一個越南證書頒發機構的網站，該機構的用戶可能對該機構有很高的信任度。

供應鏈攻擊通常很難被發現，因為惡意代碼通常隱藏在許多合法代碼中，這使得發現它們變得非常困難。

IoC

本文我翻譯自：https://www.welivesecurity.com/2020/12/17/operation-signsight-supply-chain-attack-southeast-asia/如若轉載，請注明原文地址。