研究人員發現了一種軟件供應鏈攻擊 在玩家電腦上安裝惡意軟件

研究人員發現了一種軟件供應鏈攻擊,它被用來在在線游戲玩家的電腦上安裝監控惡意軟件。不明身份的攻擊者針對的是NoxPlayer的特定用戶,NoxPlayer是一個在PC和Mac上模擬Android操作系統的軟件包。人們主要用它來玩這些平台上的移動Android游戲。NoxPlayer製造商BigNox表示,該軟件在150個國家擁有1.5億用戶。

安全公司Eset周一表示,BigNox軟件分發系統遭到黑客攻擊,並被用來向部分用戶提供惡意更新。最初的更新是在去年9月通過操縱兩個文件交付的:主BigNox二進制文件Nox.exe和下載更新本身的NoxPack.exe。

Eset惡意軟件研究員Ignacio Sanmillan表示:”我們有足夠的證據說明BigNox基礎設施(res06.bignox.com)被入侵以託管惡意軟件,同時也表明他們的HTTP API基礎設施(api.bignox.com)可能已經被入侵,在某些情況下,BigNox更新器從攻擊者控制的服務器下載了額外的有效載荷。這表明,BigNox API回復中提供的URL字段被攻擊者篡改了。”

簡而言之,攻擊是這樣的:在啟動時,Nox.exe會向一個編程接口發送請求,查詢更新信息。BigNox API服務器會響應更新信息,其中包括合法更新的URL。Eset推測,合法的更新可能已經被惡意軟件取代,或者,引入了新的文件名或URL。

然後,惡意軟件被安裝在目標機器上。惡意文件沒有像合法更新那樣進行數字簽名。這說明BigNox軟件構建系統並沒有被入侵,只有提供更新的系統被入侵。惡意軟件會對目標計算機進行有限的偵察。攻擊者會進一步將惡意更新定製到特定的感興趣的目標上。

BigNox API服務器向特定目標響應更新信息,這些信息指向攻擊者控制的服務器上的惡意更新位置。觀察到的入侵流程如下圖所示。合法的BigNox基礎設施正在為特定的更新提供惡意軟件。我們觀察到,這些惡意更新只在2020年9月進行。Sanmillan表示,在安裝了NoxPlayer的10萬多名Eset用戶中,只有5人收到了惡意更新。這些數字凸顯了攻擊的針對性。目標位於台灣、香港和斯里蘭卡。

研究人員發現了一種軟件供應鏈攻擊 在玩家電腦上安裝惡意軟件

研究人員發現了一種軟件供應鏈攻擊 在玩家電腦上安裝惡意軟件

來源:cnBeta