【安全资讯】DarkSide附属组织UNC2465对CCTV闭路电视供应商进行供应链攻击

研究人员发现Darkside勒索软件团伙的一个附属组织UNC2465对一家CCTV供应商发起了供应链攻击。UNC2465入侵了受害者公司的网站，并在其自定义版本的SmartPSS Windows应用程序中植入了恶意代码。在此次攻击中，UNC2465在部署了SMOKEDHAM 后门后，以交互的方式建立了 NGROK 隧道，并在不到 24 小时内开始横向移动。虽然该受害组织检测到了入侵并聘请了研究人员进行事件响应，避免了勒索软件攻击，但其他组织仍可能面临勒索软件攻击的风险。

研究人员表示，入侵始于2021 年 5 月 18 日，初始向量是来自合法网站的木马安全摄像头 PVR 安装程序。受害者浏览了木马化链接并下载了 ZIP。该软件在安装后会执行一系列下载和脚本，导致受害者计算机上出现 SMOKEDHAM 和 NGROK，以及其他恶意软件，如 BEACON，还进行了横向移动。研究人员认为，木马软件可在 2021 年 5 月 18 日至 2021 年 6 月 8 日期间使用。 供应链的入侵周期如下图：

研究人员将此次攻击中使用的SMOKEDHAM后门归因到DARKSIDE勒索软件团伙的附属组织UNC2465。在此次攻击中，一旦部署了SMOKEDHAM 后门，UNC2465 就以交互的方式建立了 NGROK 隧道，并在不到 24 小时内开始横向移动。五天后，UNC2465 返回并部署了其他工具，例如键盘记录器、Cobalt Strike BEACON，并通过转储 LSASS 内存进行凭据收集。

结论：

UNC2465从对网站访问者的攻击已经从drive-by攻击或钓鱼邮件攻击转变为软件供应链攻击，这表明该组织为检测攻击带来了新的挑战。虽然在最近公开的密码重用或 VPN 设备利用示例之后，许多组织现在更加关注外围防御和双因素身份验证，但对端点的监控往往被忽视。因此，企业需要部署全面的安全计划以应对UNC2465等复杂组织的威胁。