Бэкдор обнаружен в корпоративном программном обеспечении

Группе, имеющей возможные связи с китайскими хакерами, удалось взломать серверы NetSarang — южнокорейского производителя программного обеспечения — и спрятать бэкдор в программных пакетах компании.

 

По словам исследователей «Лаборатории Касперского», которые в прошлом месяце обнаружили бэкдор в приложениях NetSarang, злоумышленники опубликовали бэкдор-приложения, подписанные легитимным сертификатом NetSarang.

Это открытие привело исследователей к мысли, что злоумышленники либо взяли законные приложения компании и исправили программное обеспечение, чтобы добавить троян-бэкдор, либо им удалось взломать серверы сборки программного обеспечения NetSarang, где они добавили бэкдор в исходный код и создали новые сборки приложений. .

Затем хакеры заменили законные пакеты программного обеспечения NetSarang троянизированными версиями на официальных серверах загрузки компании.

Злоумышленники заблокировали пять приложений NetSarang

На момент написания статьи Касперский заявил, что следующие приложения NetSarang были обнаружены с бэкдором:

Xmanager Enterprise 5 Build 1232
Xmanager 5 Build 1045
Xshell 5 Build 1322
Xftp 5 Build 1218
Xlpd 5 Build 1220
Злоумышленники ждали, пока компании загрузят и установят версии троянских приложений. После заражения жертвы злоумышленники использовали программное обеспечение с бэкдором для загрузки файлов на зараженные компьютеры, хранения данных в виртуальной файловой системе (VFS), запуска приложений и создания процессов для выполнения вредоносного кода.

Троян-бэкдор общался с управляющими серверами злоумышленников с помощью DNS-запросов. Именно этот внезапный всплеск подозрительных DNS-запросов привлек внимание исследователей «Лаборатории Касперского» и привел к обнаружению бэкдора.

Касперский проинформировал NetSarang, которая очистила его серверы и выпустила новые обновления для перезаписи любых вредоносных установок на компьютерах клиентов.

Программное обеспечение популярно в корпоративных средах
Инцидент в целом опаснее, чем кажется. Причина в том, что NetSarang является одним из ведущих поставщиков программного обеспечения для ряда крупных организаций.

Южнокорейская компания не перечисляет имена клиентов на своем веб-сайте, но сообщает, что ее программное обеспечение для удаленного управления установлено в сетях компаний практически во всех отраслях промышленности, таких как банковское дело, финансы, страхование, энергетика, СМИ, ИТ, электроника, транспорт, телекоммуникации, производство, розничная торговля, логистика и другие.

Исследуя артефакты инцидента, Касперский говорит, что троян-бэкдор, который они назвали ShadowPad, использует методы, наблюдаемые в других троянах-бэкдорах, таких как PlugX или Winnti, — оба являются работой китайских хакеров, задействованных в политическом и экономическом шпионаже.

Инцидент с NetSarang — не первый случай, когда хакеры взламывают цепочку поставок компании. Китайское подразделение кибершпионажа APT10 взламывает облачных провайдеров с конца 2016 года , чтобы проникнуть в защищенные сети компаний, пользующихся их услугами. В июне этого года российская кибершпионаж TeleBots взломала сервер MEDoc и развернула троянское обновление программного обеспечения для развертывания вымогателя NotPetya. В этом году группа экономического шпионажа Cobalt (FIN7) также углубилась в атаки на цепочки поставок, используя инфраструктуру и учетные записи реальных сотрудников одной компании, чтобы подделать убедительные электронные письма, нацеленные на другую партнерскую организацию.

MD5 и SHA1 хэш для каждого троянского пакета программного обеспечения доступны здесь , наряду с доменными именами , связанных с вредоносными запросами DNS. Технический отчет о способах работы трояна доступен здесь.

https://yrodu.ru/

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *