【】震惊,过去二十年最危险的数字供应链攻击!( 三 )
鉴于受感染版本CCleaner经由有效签名签发 , 造成这种情况有几种可能性 。 可能是开发、构建或打包步骤的签名过程被破坏 , 也可能哪一步的产品签发前遭到了恶意注入 。
影响
由于CCleaner截止2016年11月时拥有20亿下载量 , 每周新增用户数近500万 , 感染影响可能非常严重 。
入侵类型
攻击者可能是通过入侵版本控制系统、打包过程或发布平台完成感染 。 最后一步可能需盗取签发官方CCleaner发行版的签名密钥 。
HandBrake
HandBrake是Mac系统流行视频转换器 , 其下载服务器之一上被替换成了恶意版本 。 下载安装了恶意版本的受害者会被攻击者获取系统管理员权限 。
影响
不适用
入侵类型
攻击者似乎攻陷了此发布平台 。 由于不涉及代码签名 , 攻击者无需盗取任何密钥 , 仅仅染指此基础设施即可 。
Kingslayer
攻击者可能入侵了应用(系统管理员用来分析Windows日志的)的下载服务器 , 将合法应用和更新替换成了经签名的恶意版本 。
影响
使用Alpha免费版软件(被黑版)的组织包括:
·4家主流电信供应商
·10+西方军事机构
·24+财富500公司
·5家主流国防承包商
·36+主流IT产品制造商或解决方案提供商
·24+西方政府机构
·24+银行和金融机构
·45+高等教育机构
入侵类型
攻击者攫取了此发布平台(如下载服务器)和打包程序签名密钥的权限 。
HackTask
HackTask用错字抢注的方法注册与npm流行库名字类似的软件包 。 攻击者以此盗取开发者的凭证 。
影响
npm库中发现38个假冒JS软件包 。 这些软件包在入侵事件发生的两周时间内被下载了至少700次 。
入侵类型
错字抢注攻击无需入侵任何基础设施 。
Shadowpad
黑客向Netsarang分发的服务器管理软件产品中植入了后门程序 , 该产品已被全球数百家大型企业使用 。 激活后门后 , 攻击者可以下载其他恶意模块或窃取数据 。 “Shadowpad”是规模和实际影响最大的供应链攻击之一 。
影响
黑客渗透了数百家银行、能源企业和医药公司 。
入侵类型
应用后门植入 。
NotPetya
NotPetya侵入软件基础设施 , 篡改补丁代码 。 该恶意软件感染了乌克兰会计软件MeDoc的更新服务器 。 攻击者以之向MeDoc应用植入后门 , 投送勒索软件和盗取凭证 。 由于掌控了更新服务器 , 攻击者能够在被感染主机上更新恶意软件 。
值得注意的是 , 攻击者似乎拥有MeDoc源代码的访问权 , 否则他们应该不可能植入此类隐藏后门 。
影响
不适用
入侵类型
攻击者似乎能够入侵MeDoc的软件发布平台、更新服务器和版本控制系统 , 甚至可能入手了更新包签名密钥 。
Bitcoin Gold
获取到GitHub存储库权限的攻击者植入了带后门的比特币钱包 。 因此 , 没下载官方版而下载了受感染版本的用户 , 如果用此恶意软件创建新钱包 , 可能会丢失他们的私钥 。
影响
4.5天窗口期内下载了被黑钱包的用户可能面临私钥被盗风险 。
入侵类型
攻击者似乎获取了版本控制系统权限 , 但不能以开发者名义签名 。
ExpensiveWall
注入免费Android应用(壁纸)中的恶意软件 , 可替受害者秘密注册付费服务 。 应用中的恶意代码源自Android开发者使用的被黑软件开发包(SDK) 。 注意 , ExpensiveWall使用了混淆方法隐藏恶意代码 , 可绕过杀毒软件防护 。
影响
至少5,904,511台设备受影响 , 而据 此技术报告 , 最多可达21,101,567台设备受影响 。
入侵类型
攻击者能够入侵开发者主机的工具链 , 在生成的应用中植入后门 。 可据此判断 , 开发者密钥应该是被盗取了 。
推荐阅读
- 网易网易披露招股文件:过去20年整体年化回报高达26.2%
- 快消乱谈|如今奶牛呼吸、睡觉都能数字化了 黑科技正在改变乳业生产在过去很长一段时间里,提到牛场,总能想到一个词——牛气冲天。
- 小米对话雷军:过去五年小米一直在补课 去年研发投资75亿
- 万能的大熊|原创 拍月亮已成过去式,荣耀30系列开始玩起拍星座
- 亿年豆蔻前|年轻人别老想着跳进创业这个巨坑
- 「晾霸」葵花奖走进晾霸:二十年磨一剑,专注智能电动晾衣架产品技术研发
- ■陈根:铁基超导体?一个区分过去和未来式的奇异材料
- @购买Mesh WiFi路由器「3个你需要知道的事」
- 5g■5G时代超高清龙头,大视频赛道二十年资深玩家非他莫属
- 干货研报5G时代超高清龙头,大视频赛道二十年资深玩家非他莫属