越南针对复杂的供应链攻击
一群神秘的黑客通过在官方的政府软件工具包中插入恶意软件,对越南的私营公司和政府机构进行了聪明的供应链攻击。
该攻击由安全公司ESET发现,并在名为"的报告中进行了详细说明。 SignSight操作,"针对越南政府证书颁发机构(VGCA),越南政府颁发数字证书的政府组织,该证书可用于对官方文件进行电子签名。
任何想要向越南政府提交文件的越南公民,私人公司,甚至其他政府机构,都必须使用兼容VGCA的数字证书签署其文件。
VGCA不仅签发这些数字证书,而且还提供现成的且易于使用的&client客户应用程序"公民,私人公司和政府工作人员可以在其计算机上安装并自动执行文档签名过程。
但是ESET表示,今年某个时候,黑客入侵了该机构位于ca.gov.vn的网站,并将恶意软件插入了两个VGCA客户端应用程序中,这些应用程序可供在该网站上下载。
ESET表示,今年7月23日至8月5日期间,这两个文件包含一个名为PhantomNet(也称为Smanager)的后门木马。
研究人员说,该恶意软件不是很复杂,但只是用于更强大插件的线框。
已知的插件包括检索代理设置以绕过公司防火墙的功能以及下载和运行其他(恶意)应用程序的功能。
这家安全公司认为,在对选定目标进行更复杂的攻击之前,已将后门用于侦察。
ESET研究人员表示,他们在本月初通知了VGCA,但该机构在联系之前已经知道了这次袭击。
在ESET发布报告的当天,VGCA还正式承认该安全漏洞并发布了有关用户如何从系统中删除恶意软件的教程。
ESET说,它还发现了在菲律宾被PhantomNet后门感染的受害者,但无法说出这些用户是如何被感染的。怀疑有其他传递机制。
斯洛伐克安全公司并未正式将攻击归因于任何特定的团体,但先前的报道将PhatomNet(Smanager)恶意软件与中国政府资助的网络间谍活动联系在一起。
VGCA事件标志着今年的第五次主要供应链攻击,原因如下:
SolarWinds-俄罗斯黑客破坏了SolarWinds Orion应用程序的更新机制,并使用Sunburst恶意软件感染了数千家公司的内部网络。 Able Desktop-中国黑客破坏了数百个蒙古政府机构使用的聊天应用程序的更新机制。 GoldenSpy-一家中国银行一直在强迫外国公司在中国开展活动以安装后门税务软件工具包。 Wizvera VeraPort-朝鲜黑客入侵Wizvera VeraPort系统,将恶意软件传播给韩国用户。
