原文鏈接:https://nosec.org/home/detail/4096.html
ZDNet網站獲悉,美國聯邦調查局已向美國私營公司發出安全警告,稱目前網絡上正發生針對軟件供應鏈公司的黑客活動。
美國聯邦調查局表示,黑客組織正試圖用一種名為Kwampirs的惡意軟件對目標公司進行感染。
FBI在上週發佈的一份行業通知中表示:“據悉,攻擊軟件供應鏈公司是為了間接攻擊其戰略合作伙伴和客戶,包括為全球能源生產、傳輸和分配提供工業控制系統(ICS)支持的團體和組織。”
除了針對軟件供應鏈軟件公司的攻擊外,FBI還表示,在針對醫療、能源和金融行業公司的攻擊中,也出現了相同的惡意軟件。
該警報沒有具體指明已成為目標的公司,也沒有指出任何其他受害者。
與此同時,FBI分享了IOCs(被攻陷的指標)和YARA的規則,這樣組織就可以掃描其內部網絡,尋找是否有Kwampirs存在的跡象。
KWAMPIRS惡意軟件
2018年4月,美國網絡安全公司賽門鐵克發佈了一份報告,首次描述了Kwampirs惡意軟件。
當時賽門鐵克表示,一個代號為Orangeworm的組織使用了Kwampirs惡意軟件以類似的方式攻擊為醫療行業提供軟件的供應鏈公司。
報告中顯示,Orangeworm自2015年開始運營,主要針對醫療行業。
“Orangeworm的次要目標包括製造業、信息技術、農業和物流。雖然這些行業看起來似乎沒有關聯,但我們發現它們與醫療保健有多種潛在聯繫,比如生產醫療成像設備的大型製造商直接賣設備給醫療保健公司,為醫療診所提供軟件服務的IT組織,以及運送醫療產品的物流組織。”
一年後,也就是2019年4月,Lab52發佈了一份報告,再次證實了賽門鐵克的發現,強調了該組織對醫療行業的重點關注。
ICS能源部門
不過,FBI上週發出的警報明確表示,使用Kwampirs所進行攻擊已經演變為針對工業控制系統(ICS)領域的公司,尤其是能源領域的公司。
在2018年和2019年,賽門鐵克和Lab52都沒有對攻擊組織的國家進行說明。
而這次FBI聲稱,通過對代碼的分析,Kwampirs與Shamoon有“許多相似之處”。Shamoon是一個臭名昭著的惡意數據刪除軟件,由與伊朗有關的黑客組織APT33所開發。
FBI表示:“雖然沒有發現Kwampirs RAT使用了wiper組件,但通過對比分析發現Kwampirs RAT與惡意數據刪除軟件Shamoon有很多相似之處。”
Shamoon惡意軟件曾多次被用於針對能源行業公司的數據刪除攻擊中,更具體地說,是針對石油和天然氣領域的公司。
FBI敦促各大企業掃描內部網絡,尋找任何Kwampirs感染的跡象,並向執法機構報告感染情況。
<code>本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場來源:https://www.zdnet.com/article/fbi-warns-about-ongoing-attacks-against-software-supply-chain-companies//<code>
閱讀更多 白帽子 的文章