微軟安全團隊在本周揭露了一場針對軟體供應鏈的攻擊行動,駭客開採了PDF編輯器安裝流程中的漏洞,竄改安裝時所需下載的MSI字形套件,並植入挖礦程式。微軟亦向外界示警:軟體供應鏈已受到駭客的青睞而成為高風險領域。

這起攻擊行動是因遭到微軟安全防護服務Windows Defender ATP攔截而引起研究人員的注意。在這起事件中,駭客建立了一個仿冒PDF編輯器之軟體合作夥伴的伺服器,還複製與代管該軟體合作夥伴所提供的所有MSI檔案,接著竄改其中作為亞洲字體套件的MSI檔案,植入可用來開採門羅幣的挖礦程式。

手法示意圖(來源:微軟)

在架好自己的仿冒伺服器之後,駭客利用軟體供應鏈中的缺陷,影響了PDF編輯器的下載參數,以在安裝編輯器時把MSI檔案的下載連結指向駭客伺服器,把挖礦程式送進使用者電腦上。

微軟並未公布該PDF編輯器的名稱,只說它是Adobe Acrobat Reader的替代程式,也是此波攻擊的受害者,其程式Installer仍是合法且完整的。不過,目前微軟尚不確定駭客所利用的缺陷,僅說不太像是MITM或DNS挾持,但警告該軟體合作夥伴的其它客戶極有可能也會受到波及。

根據Windows Defender ATP團隊的分析,駭客所使用的網域名稱是在2015年於烏克蘭所註冊的,攻擊行動現身於今年的1月到3月間。

事實上,從去年迄今便已出現多起利用軟體供應鏈的攻擊行動,例如有一文字編輯軟體的更新被植入了後門,駭客也在一報稅軟體的更新程序中嵌入Petya勒索程式, CCleaner亦曾出現後門版,今年初駭客還藉由BT用戶端程式MediaGet散布挖礦程式,估計去年至少有7起的軟體供應鏈攻擊,微軟則預期該趨勢將日益增長。

對駭客而言,供應鏈攻擊的好處顯而易見,從供應鏈下手可一次擄獲眾多的受害者,可影響各種軟體及領域,為軟體開發者、系統管理員與資安社群必須共同解決的問題。


Advertisement

更多 iThome相關內容