amdc6766团伙来袭,供应链投毒攻击再升级
💡
原文中文,约3000字,阅读约需7分钟。
📝
内容提要
2024年5月,深信服深瞻情报实验室监测到LNMP遭受供应链投毒攻击。攻击者使用新的供应链攻击路径,通过LNMP下载并编译被植入恶意代码的Nginx源码,植入Nginx后门。黑产组织amdc6766长期利用仿冒页面、供应链投毒等攻击方式,针对运维人员开展定向攻击活动。
🎯
关键要点
- 2024年5月,深信服深瞻情报实验室监测到LNMP遭受供应链投毒攻击。
- 此次攻击归因于黑产组织amdc6766,该组织长期利用仿冒页面和供应链投毒等手段进行定向攻击。
- 运维人员通过仿冒页面或官方平台下载含有恶意代码的工具,与攻击者C2服务器建立DNS隧道连接。
- 攻击者通过LNMP下载并编译被植入恶意代码的Nginx源码,植入Nginx后门,攻击方式更为隐蔽。
- LNMP官方网站下载的文件大小和MD5值与官网标注不一致,显示出被篡改的迹象。
- 恶意Nginx源码中植入的ngx_thread_pool函数提供远程执行命令的功能,攻击者可通过此后门进行控制。
- amdc6766团伙的攻击手法与之前监测到的事件高度相似,使用相同的压缩包密码和执行参数。
- 该组织选择高价值目标,植入动态链接库和Rootkit等持久化手段,长期控制主机并发起黑产攻击。
- 监测到的多个域名和IP地址与此次攻击事件相关,显示出攻击者的活动范围和手法。
➡️
