近日研究人員表示，他們發現了首次專門針對銀行業的開源軟體供應鏈攻擊。

 

Checkmarx在上週發布的一份報告中表示：“這些攻擊展示了先進的技術，包括通過附加惡意功能來針對受害銀行網絡資產中的特定組件。”

攻擊者採用了欺騙性策略，例如創立虛假的 LinkedIn 個人資料，讓每個目標看起來像是可信且定制的指揮與控制 (C2) 中心，利用合法服務進行非法活動。

 

 

第一次攻擊中，軟體作者於 2023 年 4 月上旬冒充目標銀行員工，將幾個軟體上傳到 npm 註冊表。附帶了一個預安裝腳本，為了完成這個詭計，背後的威脅者建造了一個虛假的 LinkedIn 個人資料。

啟動後，腳本會確定主機操作系統是 Windows、Linux 還是 macOS，然後使用 Azure 上包含相關銀行名稱的子域從遠程服務器下載第二階段惡意軟體。

 

Checkmarx 研究人員表示：攻擊者巧妙地利用 Azure 的 CDN 子域來有效地傳遞第二階段的有效負載，這種策略特別聰明，因為它繞過了傳統的拒絕列表方法，因為 Azure 是合法服務。

2023 年 2 月檢測到針對另一家銀行的不相關攻擊中，對手向 npm 上傳了軟體，該軟體經過精心設計，可融入受害銀行的網站並處於休眠狀態，直到被提示採取行動為止，具體來說，它的設計目的是秘密攔截登錄數據並將詳細訊息洩露到攻擊者控制的基礎設施中。

 

目前已有超過一半的攻擊（20 起）發生在俄羅斯，網絡間諜的受害者包括建築、金融、諮詢公司、零售商、銀行、保險和法律組織。

金融機構也一直處於攻擊的接收端，利用名為drIBAN的網絡注入工具包從受害者的計算機上執行未經授權的交易，從而繞過銀行採用的身份驗證和反欺詐機制，drIBAN的核心功能是 ATS 引擎（自動傳輸系統）。

“ATS 是一類網絡注入，它會改變用戶執行的合法銀行轉帳，更改受益人並將資金轉移到由 TA 或附屬機構控制的非法銀行賬戶，然後由 TA 或附屬機構負責處理和洗錢被盜資金，各位務必謹慎小心。

 

參考資訊:

https://thehackernews.com/2023/07/banking-sector-targeted-in-open-source.html