趋势科技与IssueMakersLab的安全研究人员一起发现了Operation Red Signature，这是针对韩国企业的信息窃取驱动的供应链攻击。研究者在7月底发现了这些袭击事件后，媒体报道了8月6日在韩国发生的袭击事件。

威胁参与者破坏了远程支持解决方案提供商的更新服务器，以通过更新过程向他们感兴趣的目标提供名为9002 RAT的远程访问工具。他们首先窃取了公司的证书，然后用它来签署恶意软件。他们还将更新服务器配置为仅在客户端位于目标组织的IP地址范围内时才发送恶意文件。

9002 RAT病毒还安装了其他恶意工具：互联网信息服务(IIS) 6 WebDav(利用CVE-2017-7269)和一个SQL数据库密码清除器。这些工具暗示了攻击者在将数据存储到目标的web服务器和数据库之后是如何进行攻击的。

攻击链

以下是Operation Red Signature的工作原理：

• 来自远程支持解决方案提供商的代码签名证书被盗。早在2018年4月，证书就有可能被盗，因为我们在4月8日发现了一个与被盗证书签署的ShiftDoor恶意软件（4ae4aed210f2b4f75bdb855f6a5c11e625d56de2）。

• 准备好恶意更新文件，使用被盗证书签名，并上传到攻击者的服务器(207[.]148[.]94[.]157)。

• 该公司的更新服务器遭到入侵。

• 如果更新服务器配置为客户端从属于其目标组织的特定IP地址范围连接，则从攻击者的服务器接收压缩文件。

• 执行远程支持程序时，恶意更新压缩文件将发送到客户端。

• 远程支持程序将文件识别为正常，并在其中执行9002 RAT恶意软件。

• 9002 RAT从攻击者的服务器下载并执行其他恶意文件。

缓解供应链攻击

供应链攻击不仅影响用户和企业，还会利用供应商与客户或客户之间的信任。通过木马程序/应用程序或操纵运行它们的基础设施或平台，供应链攻击会影响组织提供的产品和服务的完整性和安全性。例如，在医疗行业，该行业高度依赖第三方和基于云的服务，供应链攻击可能危及个人身份数据和知识产权的隐私，扰乱医院运营，甚至危及患者健康。而当GDPR等法规堆积如山时，影响可能会加剧。

建议措施:

监督第三方产品和服务;除了确保组织自己的在线场所(如补丁、身份验证机制)的安全性外，还必须在使用的第三方应用程序中设置安全控制。

制定积极的事件应对策略:供应链攻击往往是有针对性的;组织必须能够完全理解、管理和监视第三方供应商所涉及的风险。

主动监控网络的异常活动;防火墙和入侵检测和防御系统有助于减轻基于网络的威胁。执行最小特权原则:网络分割、数据分类、系统管理工具的限制和应用程序控制有助于阻止横向移动和最小化数据暴露。