amdc6766团伙来袭,供应链投毒攻击再升级
内容提要
2024年5月,深信服深瞻情报实验室监测到LNMP遭受供应链投毒攻击。攻击者使用新的供应链攻击路径,通过LNMP下载并编译被植入恶意代码的Nginx源码,植入Nginx后门。黑产组织amdc6766长期利用仿冒页面、供应链投毒等攻击方式,针对运维人员开展定向攻击活动。
关键要点
-
2024年5月,深信服深瞻情报实验室监测到LNMP遭受供应链投毒攻击。
-
此次攻击归因于黑产组织amdc6766,该组织长期利用仿冒页面和供应链投毒等手段进行定向攻击。
-
运维人员通过仿冒页面或官方平台下载含有恶意代码的工具,与攻击者C2服务器建立DNS隧道连接。
-
攻击者通过LNMP下载并编译被植入恶意代码的Nginx源码,植入Nginx后门,攻击方式更为隐蔽。
-
LNMP官方网站下载的文件大小和MD5值与官网标注不一致,显示出被篡改的迹象。
-
恶意Nginx源码中植入的ngx_thread_pool函数提供远程执行命令的功能,攻击者可通过此后门进行控制。
-
amdc6766团伙的攻击手法与之前监测到的事件高度相似,使用相同的压缩包密码和执行参数。
-
该组织选择高价值目标,植入动态链接库和Rootkit等持久化手段,长期控制主机并发起黑产攻击。
-
监测到的多个域名和IP地址与此次攻击事件相关,显示出攻击者的活动范围和手法。
延伸问答
amdc6766团伙是如何进行供应链投毒攻击的?
amdc6766团伙通过仿冒页面和供应链投毒,诱使运维人员下载并执行含有恶意代码的工具,从而建立与攻击者C2服务器的DNS隧道连接。
LNMP遭受的攻击具体表现是什么?
LNMP下载并编译被植入恶意代码的Nginx源码,导致Nginx后门的植入,且下载文件的大小和MD5值与官网不一致,显示被篡改的迹象。
amdc6766团伙的攻击目标是什么?
该团伙选择高价值目标,长期控制主机并发起黑产攻击,主要针对运维人员常用的软件。
此次供应链投毒攻击的后果是什么?
攻击者通过植入后门控制受害者的系统,进行远程命令执行,可能导致数据泄露和系统被利用进行其他黑产活动。
如何识别LNMP下载的文件是否被篡改?
可以通过检查下载文件的大小和MD5值,与LNMP官方网站标注的值进行对比,发现不一致即可能被篡改。
amdc6766团伙的攻击手法与之前有什么相似之处?
此次攻击手法与之前监测到的事件高度相似,使用相同的压缩包密码和执行参数,显示出其攻击模式的持续性。
