供應鏈攻擊事故最近幾年有越來越氾濫的現象,隨著臺海情勢不斷升溫,針對臺灣IT製造商而來的攻擊行動,已成為不容忽視的資安威脅。4年前,華碩更新伺服器遭駭的資安事故曾引起各界高度關注,該廠牌的筆記型電腦自動更新工具程式Asus Live Update,部分版本遭駭客植入惡意程式碼,並上傳至檔案伺服器,最近又有其他廠商遭遇類似攻擊。

微軟威脅情報團隊揭露北韓駭客組織Lazarus旗下團體Zinc(亦稱Diamond Sleet)發起的供應鏈攻擊,這些駭客約從10月20日開始,竄改臺灣多媒體應用程式開發商訊連科技(CyberLink)應用程式安裝檔案,植入惡意功能,一旦執行將會於受害電腦下載、解密、載入攻擊第2階段的惡意程式碼。

而對於駭客團體Zinc的來歷,研究人員指出,這些駭客主要鎖定的攻擊目標,是全球各地的媒體、國防、IT產業,長期從事間諜活動,竊取特定人士或企業組織的機密資料,或是破壞目標組織的網路環境。該組織在攻擊行動中,往往會使用專屬的惡意程式進行。

這起資安事故不同之處在於,過往臺灣廠商遭遇供應鏈攻擊,駭客的目標多半是IT設備的製造商,但這次被針對的是軟體業者,代表這些廠商也要重視相關資安防護。

安裝程式遭到竄改,且存放於訊連的軟體更新基礎設施

值得留意的是,上述駭客竄改的檔案,不僅透過訊連的憑證簽章,本身也存放在該公司所有的軟體更新基礎設施上。再者,這個惡意程式也藉由檢查執行時間間隔的限制,來迴避防毒軟體偵測。這起事故造成那些災情?目前至少有100臺裝置受害,坐落在臺灣、日本、加拿大、美國等多個國家。但究竟這些駭客的目的是什麼?研究人員表示仍有待確認,但他們發現這些駭客曾入侵軟體開發環境、竊取機密資料,他們不排除向供應鏈下游移動、攻擊更多組織的可能。

研究人員將此惡意安裝檔稱為LambLoad,並指出攻擊活動會刻意避開特定資安組態的電腦,例如部署FireEye、CrowdStrike、Tanium等廠牌端點防護系統的電腦,並企圖於受害電腦下載偽裝成PNG圖檔的第2階段惡意酬載,從而在記憶體內解密並執行另一個可執行檔,嘗試從C2接收駭客的命令。

針對這起供應鏈攻擊事故,訊連做出回應

對於上述研究人員的發現,今日下午,訊連科技發布公告指出,在其產品「Promeo」的安裝程式中發現惡意軟體,已經移除問題,他們也透過微軟、CrowdStrike、賽門鐵克、趨勢科技、Sophos的資安工具清查旗下所有產品,確認其他產品不受這起攻擊行動影響。

後續他們將與微軟更新軟體安全憑證,並指出更新的過程中,有可能導致用戶無法安裝訊連旗下的應用程式。

研究人員揭露鎖定訊連科技的軟體供應鏈攻擊事故,該公司也發布公告,表示他們在名為「Promeo」社群影片製作範本軟體安裝檔案裡,發現惡意軟體,該公司著手清查並更換軟體安全憑證。(圖片來源/訊連科技)

熱門新聞

Advertisement