未知攻击者向越南政府机构和企业发起复杂的、超大规模的供应链攻击
据安全公司 ESET 发布的最新安全报告 , 有未知攻击者针对越南国家政府机构和私营企业发起复杂的供应链攻击。
攻击者通过某种方式将后门程序植入在越南官方数字签名认证工具里,该工具被越南政府、企业和民众广泛使用。
也正是如此大量政府机构、企业和民众使用这个数字签名认证工具,随后用户被攻击者植入的后门程序彻底感染。
除越南外安全公司在菲律宾也发现该后门程序的感染样本,但目前没有证据能够说明这是怎么感染和进行传播的。
越南政府证书颁发机构是越南国家的官方机构,该机构主要用来签发数字证书,然后数字证书用来对文件签名等。
为方便使用该机构还开发 Windows 客户端程序,使用者只需要安装该客户端即可申请数字证书并完成内容签名。
任何想要向越南政府提交文件的越南公民、私人企业甚至其他政府机构,都需要使用该机构的数字证书进行认证。
而未知的攻击者则将后门程序植入在这个客户端程序里,具体何时植入的以及怎么渗透该颁发机构的暂时也未知。
但大量机构和民众使用该客户端程序后都被感染后门程序,这个后门程序并不复杂看起来更像是某种框架类程序。
然而该框架可以加载大量的木马程序进入受害者的计算机,其使用的插件包括检索代理设置以及绕过防火墙等等。
当然也可用来下载新的木马程序进行更多功能的木马程序,值得注意的是这些木马程序更多目的是进行侦查活动。
从目前已知信息来看攻击者利用后门程序首先潜伏在受害者系统里,然后开始默默收集数据分析受害者的性质等。
如果受害者是攻击者的目标则后门程序会接收更多指令,然后可以发起更加复杂的攻击包括收集内网里所有数据。
在安全公司发布报告后越南政府证书颁发机构确认遭到攻击,同时也发布指南指导受害者如何清理这些后门程序。
除越南外安全公司在菲律宾也发现病毒感染样本,但就目前来说尚不清楚菲律宾受害者是如何遭到该木马感染的。
关键词:PhatomNet,Smanager,ESET,Vietnam,Chain attack,VGCA,Operation SignSight,gov.vn