供应链攻击事故最近几年有越来越泛滥的现象,随著台海情势不断升温,针对台湾IT制造商而来的攻击行动,已成为不容忽视的资安威胁。4年前,,这些骇客约从10月20日开始,窜改台湾多媒体应用程式开发商讯连科技(CyberLink)应用程式安装档案,植入恶意功能,一旦执行将会于受害电脑下载、解密、载入攻击第2阶段的恶意程式码。
而对于骇客团体Zinc的来历,研究人员指出,这些骇客主要锁定的攻击目标,是全球各地的媒体、国防、IT产业,长期从事间谍活动,窃取特定人士或企业组织的机密资料,或是破坏目标组织的网路环境。该组织在攻击行动中,往往会使用专属的恶意程式进行。
值得留意的是,上述骇客窜改的档案,不仅透过讯连的凭证签章,本身也存放在该公司所有的软体更新基础设施上。再者,这个恶意程式也借由检查执行时间间隔的限制,来回避防毒软体侦测。这起事故造成那些灾情?目前至少有100台装置受害,坐落在台湾、日本、加拿大、美国等多个国家。但究竟这些骇客的目的是什么?研究人员表示仍有待确认,但他们发现这些骇客曾入侵软体开发环境、窃取机密资料,他们不排除向供应链下游移动、攻击更多组织的可能。
研究人员将此恶意安装档称为LambLoad,并指出攻击活动会刻意避开特定资安组态的电脑,例如部署FireEye、CrowdStrike、Tanium等厂牌端点防护系统的电脑,并企图于受害电脑下载伪装成PNG图档的第2阶段恶意酬载,从而在记忆体内解密并执行另一个可执行档,尝试从C2接收骇客的命令。