Новую атаку на цепочку поставок отследили ИБ-специалисты TrendMicro. Злоумышленники скомпрометировали сервер поддержки одного из южнокорейских поставщиков программного обеспечения и рассылали его клиентам набор вредоносов под видом апдейтов. Как сообщают исследователи, чтобы избежать обнаружения антивирусами, киберпреступники использовали украденный сертификат соответствия.

Кампания, получившая название Red Signature, была хорошо подготовлена и состояла из нескольких этапов. Сначала злоумышленники украли сертификат безопасности, чтобы использовать его для подтверждения валидности своих файлов. Компрометация ключа, скорее всего, произошла весной этого года — 8 апреля исследователи обнаружили подписанный им вредонос ShiftDoor.

Затем мошенники создали ZIP-архив с трояном 9002 RAT и разместили его на специально развернутом хосте. Файл был подписан украденным сертификатом и воспринимался системой как обычное обновление.

Для доставки вредоносного апдейта киберпреступники взломали сервер поставщика программных продуктов и внесли изменения в алгоритмы его работы. В результате служба автоматического обновления вместо обычного апдейта загружала архив с ресурса злоумышленников. Целью нападавших были конкретные организации, поэтому схема запускалась лишь в случае, если обращение происходило с определенных IP-адресов.

После распаковки 9002 RAT загружал на скомпрометированное устройство набор вредоносных программ. В качестве полезной нагрузки выступали приложения для кражи системных данных, персональной информации и паролей, сохраненных в браузере или базе SQL.

Кроме того, на компьютере размещался вредонос, эксплуатирующий критическую уязвимость CVE-2017-7269 в службах Internet Information Services версии 6. Баг позволяет вызвать переполнение буфера и выполнить на скомпрометированном сервере удаленный код. В прошлом году именно эта ошибка, позволила злоумышленникам заработать $63 тыс., разместив на взломанных ресурсах майнер Monero.

Как пояснили эксперты, кампания длилась две недели — с 17 по 31 июля. Исследователи не сообщили, какое количество организаций пострадало от действий киберпреступников.

Компрометация цепочки поставок для распространения вредоносного ПО использовалась и создателями вайпера ExPetr. Как сообщили специалисты «Лаборатории Касперского», одним из источников заражения был сервер обновлений украинской программы для финансовой отчетности M.E.Doc, взломанный киберпреступниками.

Категории: Вредоносные программы, Хакеры