Son zamanlarda iki ayrı olayda, tehdit aktörleri, Düğüm Paket Yöneticisi (npm) kayıt defterindeki zehirli paketler aracılığıyla iki farklı bankadaki yazılım geliştirme ortamına kötü amaçlı yazılım sokmaya çalıştı.
Checkmarx’ta saldırıları gözlemleyen araştırmacılar, saldırıların açık kaynak yazılım tedarik zinciri aracılığıyla bankaları hedef alan düşmanların ilk örnekleri olduğuna inanıyor. Satıcı bu haftaki bir raporda, iki saldırıyı son zamanlarda gözlemledikleri ve bankaların belirli hedefler olduğu daha büyük eğilimin bir parçası olarak tanımladı.
Gelişmiş Teknikler ve Hedefleme
“Bu saldırılar, kötü amaçlı işlevler ekleyerek kurban bankanın Web varlıklarındaki belirli bileşenleri hedeflemek dahil olmak üzere gelişmiş teknikleri sergiledi.” checkmarx dedi.
Satıcı, raporunda bir Nisan saldırısının altını çizdi. Olayda, hedef bankanın çalışanı kılığına giren bir tehdit aktörü, npm kayıt defterine iki kötü amaçlı paket yükledi. Checkmarx araştırmacıları, pakete katkıda bulunan kişinin hedef bankada çalıştığını öne süren bir LinkedIn profili keşfetti ve başlangıçta paketlerin bankanın yürütmekte olduğu bir sızma testinin parçası olduğunu varsaydı.
İki npm paketi, güvenliği ihlal edilmiş bir sistemde kurulum üzerine yürütülen bir kurulum öncesi komut dosyası içeriyordu. Saldırı zinciri, önce ana sistemin işletim sistemini tanımlayan komut dosyasıyla ortaya çıktı. Ardından, işletim sisteminin Windows, Linux veya MacOS olmasına bağlı olarak komut dosyası, npm paketindeki uygun şifrelenmiş dosyaların şifresini çözdü. Saldırı zinciri, şifresi çözülmüş dosyaların, saldırgan tarafından kontrol edilen bir komuta ve kontrol (C2) sunucusundan ikinci aşama bir yük indirmesiyle devam etti.
Checkmarx, “Saldırgan, ikinci aşama yükünü etkili bir şekilde iletmek için Azure’ın CDN alt etki alanlarını akıllıca kullandı” dedi. “Bu taktik özellikle zekice çünkü Azure sayesinde geleneksel reddetme listesi yöntemlerini atlıyor.‘Meşru bir hizmet statüsü.” Saldırıyı daha da güvenilir ve tespit edilmesi zor hale getirmek için, tehdit aktörü hedef bankanın adını içeren bir alt alan adı kullandı.
Checkmarx’ın araştırması, ikinci aşama yükünün, kuruluşların genellikle güvenlik testi ve denetimi için kullandığı popüler bir açık kaynak sızma testi çerçevesi olan Havoc Framework olduğunu gösterdi. Checkmarx, Havoc’un Windows Defender ve diğer standart uç nokta güvenlik kontrollerinden kaçma yeteneği nedeniyle tehdit aktörleri arasında popüler bir istismar sonrası araç haline geldiğini söyledi.
“Havoc çerçevesini dağıtmak, saldırganın banka içindeki virüslü makineye erişmesini sağlardı.‘Checkmarx’in güvenlik araştırmacısı Aviad Gershon, Dark Reading’e yaptığı açıklamalarda, “S ağı,” diyor. “Bu noktadan sonra, sonuçlar [would have been] bankaya bağlı‘defans ve saldırgan‘yetenekleri ve amacı — veri hırsızlığı, para hırsızlığı, fidye yazılımı vb.
Belirli Kurban
Checkmarx’ın bu hafta bildirdiği diğer saldırı ise Şubat ayında gerçekleşti. Burada da, Mayıs ayındaki saldırgandan tamamen ayrı olan tehdit aktörü, kötü amaçlı bir yük içeren kendi paketini npm’ye yükledi. Bu örnekte, yük, hedeflenen banka için özel olarak tasarlandı. Bankadaki belirli bir oturum açma formu öğesine bağlanacak şekilde tasarlanmıştır.‘ın web sitesi ve kullanıcıların siteye giriş yaparken forma girdiği bilgileri yakalamak ve iletmek.
Gershon, her iki npm paketindeki özelliklerin onları yalnızca genel olarak bankacılık sektörüne değil, aynı zamanda belirli bankalara da özgü kıldığını söylüyor. “Blogda anlattığımız ilk saldırı, belli ki belirli bir bankayı hedef alıyor, bir banka çalışanının kimliğini tahrif ediyor ve bankanın da dahil olduğu hazırlanmış etki alanlarını kullanıyordu.‘Gershon, “Bu taktiklerin her ikisi de, güvenilirlik kazanmak ve banka geliştiricilerini indirmeye ikna etmek için kullanıldı.”
İkinci saldırıda, düşmanın yükü, belirli bir bankanın belirli bir uygulamasındaki belirli ve benzersiz bir HTML öğesini hedef aldı, diyor. “Dolayısıyla, bu örnekte bu zehirli paket muhtemelen onu indiren ve kuran diğer kullanıcılara zarar vermezdi.” Saldırganın paketi geliştirmesindeki amacı, kullanıcıların belirli HTML öğesine girmiş olacakları oturum açma kimlik bilgilerini çalmaktı.
Popüler açık kaynak havuzları ve npm ve PyPI gibi paket yöneticileri üzerinde zehirli paketlerin kullanımını içeren saldırılar son yıllarda arttı. ReversingLabs’in bu yılın başlarında yürüttüğü bir araştırma, aslında, Saldırılarda %289 artış 2018’den beri açık kaynak havuzlarında.
Checkmarx’in bu hafta bildirdiği saldırılar, bankaların bu tür saldırılarda belirli hedefler olduğu bilinen ilk örneklerdir.
