利用可信的IT供应链供应商作为切入点 黑客逐渐瞄准供应链攻击

越来越多的威胁行为者将供应链公司视为进入企业网络的切入点。

供应链攻击属于大多数威胁行为者的攻击范围，因为实施供应链攻击涉及与其他攻击相同的手法，包括使用社会工程或利用软件漏洞。软件安全是网络安全的基础部分，其在网络安全中起到的作用已日趋明显。

臭名昭著的拉撒路集团(Lazarus Group)最近的活动表明，越来越多的威胁行为者开始对利用可信的IT供应链供应商作为企业网络的入口点感兴趣。

卡巴斯基的安全研究人员最近发现了两个独立的活动，其中Lazarus Group渗透了一家 IT 公司的网络，这可能是危及其下游客户的更广泛战略的一部分。

在其中一起事件中，Lazarus集团侵入了一家韩国安全软件供应商的网络，并滥用该公司的软件，在韩国一家智库的网络上部署了两款名为Blindingcan和Copperhedge的远程访问木马(RATs)。美国网络安全与基础设施安全局(CISA)去年分别在8月和5月发布了警报，警告拉撒路集团(Lazarus Group)使用这两种rat病毒在被入侵的网络上保持存在。

卡巴斯基研究人员最近观察到的第二起Lazarus供应链攻击涉及一家位于拉脱维亚的IT 资产监控产品供应商。在这次攻击中，Lazarus Group再次在技术提供商的网络上部署了Copperhedge 后门。

高级安全研究员Ariel Jungheit表示：“这是在一个谨慎的多阶段过程中完成的，使用了两层多个(命令和控制)服务器。”这种攻击导致威胁行为者只在内存中加载并执行Copperhedge恶意软件。

但卡巴斯基一直无法确认Lazarus是否成功侵入了这家资产管理技术供应商的软件产品本身。同样，卡巴斯基也无法确定Lazarus集团是否利用其对这家资产管理软件供应商网络的访问来危害任何进一步的受害者。

Jungheit表示:“尽管不清楚Lazarus是如何入侵韩国安全软件公司和拉脱维亚的资产监控技术提供商。”“从表面上看，这项发现表明Lazarus对发展供应链攻击很有兴趣。”

负责WannaCry勒索软件攻击和众多其他恶意活动的Lazarus Group是越来越多的威胁参与者之一，它们已经开始开发利用IT供应链中的漏洞来瞄准企业的能力。

例如，就在本周，微软警告称Nobelium——SolarWinds 漏洞背后的威胁行为者，在一场危险的新活动中瞄准了受信任的云和IT服务提供商，以在他们的客户网络中获得立据点。微软称，自5月份以来，这名黑客已经攻击了140多个服务提供商，并攻破了其中的14个。

日益增长的攻击者兴趣

上季度，卡巴斯基观察到至少另外两个威胁行为者——HoneyMyte 和 BountyGlad采取了同样的策略。

HoneyMyte 基本上是在指纹扫描仪产品的安装包中注入了一个后门，南亚国家的中央政府雇员需要使用该产品来记录出勤率。 攻击者并未直接针对特定供应商，而是破坏了并非由供应商运行的软件本身的分发服务器，

而在BountyGlad 的案例中，攻击者用恶意下载程序替换了供应商分发服务器上的数字证书管理软件客户端的安装程序。当在受害者系统上执行时，下载程序会执行合法的安装程序以及其他恶意代码。

供应链黑客的历史

诸如此类的软件供应链攻击当然并不新鲜。2019年，一个名为钡的威胁参与者闯入了硬件制造商华硕的一个自动软件更新系统，并利用该访问渠道向华硕系统的客户传播恶意软件。这个恶意软件——作为shadowwhammer操作的一部分发布，最终在超过40万个系统上执行。2017年，攻击者破坏了Avast的一个软件构建系统，并使用该公司的CCleaner软件传播恶意软件。

虽然这些攻击引起了相当大的关注，但正是SolarWinds去年12月披露的漏洞才真正引起了人们对供应链安全问题的高度关注。

卡巴斯基首席安全研究员戴维·埃姆 (David Emm) 表示：“如果你考虑一下近年来我们看到的供应链攻击的影响，就不难看出为什么APT威胁行动者可能会觉得这是一种吸引人的方式。”“供应链攻击破坏了供应商和下游公司之间的信任关系。”

他表示，利用受影响供应商的攻击实际上是内部攻击。

埃姆表示，供应链攻击属于大多数威胁行为者的攻击范围，因为实施供应链攻击涉及与其他攻击相同的手法，包括使用社会工程或利用软件漏洞。

在供应链攻击中，攻击者主要搜索存在漏洞的软件、不安全的网络协议、未受保护的服务器基础结构和不安全的代码。它们在生成和更新过程中会中断、更改源代码并隐藏恶意软件。

由于软件由受信任的供应商生成和发布，因此这些应用和更新已经过签名和认证。在软件供应链攻击中，但供应商并不知道他们的应用程序或更新在公开发布时受到恶意代码感染，因此恶意代码以与应用相同的信任和权限运行。

加强软件供应链安全尤其是软件安全，不但可以确保软件稳定运行可信赖，也是筑牢网络安全根基的方法之一。通过在软件开发阶段使用静态代码检测工具查找并修改代码问题引起的安全漏洞，提高软件自身安全性，不但有助于软件自身安全性的提升，而且可以避免为上下游企业带来网络安全问题。

参读链接：

https://www.darkreading.com/threat-intelligence/north-korea-s-lazarus-group-turns-to-supply-chain-attacks