一年四起供應鏈投毒事件的幕后黑手

2017年，黑客入侵Avast服務器，在CCleaner更新中植入惡意代碼，被數百萬用戶下載。

2017年，M.E.Doc遭黑客攻擊，篡改更新植入NotPetya，影響全球公司。

2020年，黑客入侵SolarWinds服務器，植入惡意代碼影響客戶敏感信息，導致美國財政部、商務部等多個政府機構用戶受到長期入侵和監視。

...

以上事件，均由黑客發起的供應鏈攻擊引發。

供應鏈投毒攻擊是指黑客利用供應鏈中的軟件、硬件或服務等環節，通過植入惡意代碼或篡改產品，從而影響最終用戶的安全的一種攻擊手段。當今世界依賴于數字網絡連接，個人和企業都通過網絡進行交流。攻擊者可以通過攻擊目標公司使用的第三方服務提供商，利用其服務或軟硬件作為入口點進入目標網絡。然后，通過供應鏈將風險擴大到其他企業和用戶，造成巨大的影響。

概述

2023年4月，深信服安全運營中心（MSS）安服應急響應團隊和深信服深瞻情報實驗室發現了一起供應鏈投毒攻擊事件，目標是PHP/JAVA部署工具OneinStack。同月，深瞻情報實驗室還發現LNMP供應鏈投毒事件，隨后在9月和10月又發現兩起供應鏈投毒事件，分別涉及LNMP和Oneinstack。

根據該團伙常用C2服務器特征，高度懷疑這四起供應鏈投毒事件均出自一個黑產團伙之手。

經過關聯分析，深信服深瞻情報實驗室發現四起事件的TTPs存在高度一致性，且溯源分析發現該團伙使用了多個以amdc6766.net結尾的域名實施惡意活動，包括供應鏈投毒攻擊以及動態鏈接庫遠控后門。

2023上半年至今，這個黑產組織利用多種攻擊手段，包括仿冒頁面（AMH、寶塔、Xshell、Navicat）、供應鏈投毒（LNMP、OneinStack）和公開web漏洞等，有針對性地對運維人員進行攻擊。運維人員從仿冒頁面或官方平臺下載并執行含有惡意代碼的部署工具，與攻擊者C2服務器建立DNS隧道連接。

該黑產組織通過定向投毒運維部署工具供應鏈，長期遠控低價值主機作為肉雞，擇機選擇高價值目標進行深度控制。隨后他們會下發Rootkit和代理工具，伺機從事各類黑產活動，給用戶造成實際損失。

供應鏈投毒事件時間線

4月OneinStack供應鏈投毒事件

2023年4月，PHP/JAVA部署工具OneinStack遭受供應鏈投毒攻擊。攻擊者在官方網站下載安裝包中植入惡意鏈接，已發現境內用戶受到感染。

在OneinStack官方網站的安裝程序中，/usr/local/src/oneinstack/include/openssl.sh被攻擊者植入惡意代碼。當用戶從惡意地址下載oneinstack.jpg后，該文件會解壓并執行./cron目錄下load。

在load執行后，首先會判斷受害主機是否為RedHat服務器。然后，它會從download.cnoneinstack.com下載一系列惡意文件，包括t.jpg，s.jpg，install，cr.jpg，libaudit.so.2等，并將他們解壓至/var/local/cron目錄下。最后，利用crond實現持久化建立DNS隧道通信。

4月LNMP供應鏈投毒事件

2023年4月和9月期間，Linux服務器部署工具LNMP遭受了供應鏈投毒的攻擊。此次事件使用了與上文類似的攻擊手法，因此懷疑是同一伙攻擊者所為。

在4月LNMP供應鏈投毒事件中，安裝過程中從lnmp01.amdc6766.net下載了lnmp.jpg，解壓并執行了包括ba、cr、libxml.2.so.2.9.2等惡意文件。

9月LNMP供應鏈投毒事件

9月同樣出現了LNMP供應鏈投毒事件。攻擊者在lnmp2.0/include/init.sh中植入了惡意代碼，并在tools目錄下植入惡意二進制程序lnmp.sh。

執行lnmp.sh后，首先判斷受害主機是否為RedHat服務器，然后從download.lnmp.life下載后階段cr.jpg、s.jpg、Install、libseaudit.so.2.4.6等惡意文件，并將它們解壓到了/var/local/cron目錄中。最后，通過crond實現持久建立DNS隧道通信。

10月OneinStack供應鏈投毒事件

2023年10月6日，Oneinstack官方鏡像網站的最新安裝包再次被投毒。這次投毒行為是通過植入惡意代碼到oneinstack/src/pcre-8.45/configure文件實施的。攻擊者從download.oneinstack.club下載了osk.jpg，解壓并執行了./cron目錄下load。

load執行后，首先判斷受害主機是否為RedHat服務器，然后從download.oneinstack.club下載后階段t.jpg，s.jpg，install，cr.jpg，libstdc++.so.2.0.0等惡意文件，并將它們解壓至/var/local/cron。最后，通過crond實現持久建立DNS隧道通信。

四起事件，指向同一個幕后真兇！

2023年10月，深信服XDR監測到某用戶主機crond被替換加載了/libxm2.so.2.9.2等遠控后門，同時發現sshd程序的動態鏈接庫劫持/lib64/linux-x86-64.so.2，記錄了ssh密碼并設置了后門密碼360bss3200189。

隨后的監控發現了異常DNS定時請求，懷疑主機上可能還存在其他的守護進程。通過對主機的調查，發現這些DNS請求是由Rootkit內核線程發起的。

攻擊者可以通過這些DNS請求下發控制命令。例如獲取系統版本信息、執行命令、獲取文件、執行socks5代理工具等。

此次攻擊事件的完整攻擊流程，如下圖：

通過此次攻擊事件的分析，發現與上半年監測到的多起供應鏈投毒事件存在較高的TTPs相似性，原因如下：

1.攻擊套件參數和偽裝手段一致

本次攻擊者最初攻擊套件中的install和src.jpg，install執行命令參數為linux@QWE，使用jpg后綴作為tar包的偽裝，其攻擊手法與OneinStack供應鏈投毒事件中的初始攻擊套件一致。

2.使用crond服務持久化和后門動態鏈接庫

本次攻擊者下發/usr/sbin/crond+/usr/lib/libxm2.so.2.9.2動態鏈接庫劫持，作為遠控后門，建立DNS隧道連接。

OneinStack供應鏈事件中后續下載的crond、libaudit.so.2等惡意文件，同樣是利用crond服務動態鏈接庫劫持，建立DNS隧道連接，進行持久化。

3.相同的域名amdc6766.net和攻擊手法

內網某臺主機存在后門程序/usr/lib/libxm2.so.2.9.2，其外連域名為aliyun.amdc6766.net。

在4月份的LNMP供應鏈投毒事件中，LNMP的安裝過程中，從惡意域名lnmp01.amdc6766.net下載了lnmp.jpg文件。隨后，該文件被解壓并執行了ba、cr、libxml.2.so.2.9.2等惡意文件。該事件中的域名結構、惡意文件命名結構、攻擊手法與上述事件高度相似。

由此可以推斷“amdc6766”團伙與這次異常定時DNS請求攻擊事件高度相關。四起供應鏈投毒事件的核心攻擊手法相同：

惡意文件偽裝為jpg

加載器的參數相似linux@QWE或linhkkngf@QWE

install執行參數相同linux@QWE

利用crond服務實現持久化

執行crond程序加載惡意動態鏈接庫

建立DNS隧道連接

不講武德，仿冒網站后投毒

經過深信服深瞻情報實驗室對可疑域名amdc6766.net的關聯分析，獲得以下子域名。據了解，該域名常用于供應鏈投毒攻擊以及動態鏈接庫遠控后門，因此內部將該團伙命名為代號“amdc6766”黑產組織。

今年4月，監測發現可疑xiandazm.com域名仿冒AMH面板官網。

仿冒頁面中的AMH面板部署腳本已被替換為惡意鏈接。該安裝腳本中注入惡意代碼從down.amh.jpg下載amh.jpg，提供linux@QWE執行load，后續階段與供應鏈投毒攻擊無異。

根據惡意文件和網空特征關聯到多個仿冒運維部署工具的網站。

“amdc6766”黑產組織長期以來一直利用仿冒頁面、供應鏈投毒及公開web漏洞等攻擊方式，針對運維人員常用軟件Navicat、Xshell、LNMP、AMH、OneinStack、寶塔等開展定向攻擊活動。經過前期潛伏發現高價值目標后，他們會采取持久化手段，例如植入動態鏈接庫、Rootkit、惡意crond服務等，控制受感染的主機，伺機發起各類黑產攻擊活動。

思考：如何防范供應鏈攻擊

對于防范供應鏈攻擊而言，難點在于，攻擊者只需找到軟件供應鏈的一個弱點，就能輕松入侵并造成危害。然而，防守方企業需要對整個供應鏈上下游進行全面的安全防護。由于供應鏈的復雜性，追溯和清除攻擊痕跡都是十分困難的，而這對大多數企業來說既不可行又不現實。因此，企業的重點應該是進一步提升自身的安全防護能力和意識，即使上下游供應鏈遭到黑客入侵，也能確保自身數據的安全。

在此，我們提醒您：

驗證軟件來源：在部署新的運維工具或更新時，確保從官方可信賴的渠道獲取軟件，避免使用來路不明的軟件包。

簽名驗證：對于軟件包和更新，驗證數字簽名以確保其完整性和真實性，避免被篡改的惡意軟件。

安全審計：定期對運維工具和軟件進行安全審計，及時發現潛在的安全隱患和惡意代碼。

供應商信任：與可信賴的供應商建立長期合作關系，了解其安全實踐和供應鏈管理措施。

# 黑客