The Record 报道称,某神秘黑客攻破了企业密码管理器应用程序的更新机制,并在其用户设备(大多数为企业客户)上部署了恶意软件。今天早些时候,澳大利亚软件公司 Click Studios 已经向 2.9 万名客户发去了电子邮件通知。由波兰科技新闻网站 Niebezpiecznik 获得的通告副本可知,带有恶意软件的更新包,在 4 月 20 ~ 22 日期间持续传播了 28 个小时。
官网介绍(来自:Click Studios)
丹麦安全公司 CSIS 今日发布了针对该供应链恶意软件攻击的分析,指出攻击者迫使 Passwordstate 应用程序下载了另一个名为“Passwordstate_update.zip”的压缩包,其中包含了一个“moserware.secretsplitter.dll”动态链接库文件。
在受害者机器上安装后,该 DLL 文件将会尝试 ping 通远程的命令与控制服务器,而后服务器端会给出特定的响应,比如检索其它有效负载。
从 UTC 时间 4 月 20 日 20:33、到 4 月 22 日 00:30,恶意软件一共持续了 28 个小时。然而攻击者的嗅觉也相当灵敏,在发现露馅时就立即关闭了命令与控制服务器。
调查受阻的安全人员,暂时只发现 Windows 版本的 Passwordstate 恶意软件。至于攻击者还执行了哪些额外的骚操作,目前还无法断定。
邮件截图
从攻击者破坏的软件性质来判断,黑客显然希望从受感染的系统中捞取机密信息,甚至可能已经获得了对客户密码存储的完全访问权限。
正如 SentinelOne 首席威胁研究员 Juan Andres Guerrero-Saade 今日在 Twitter 上指出的那样,当前已有某些工具能够破解 Passwordstate 加密库并恢复明文密码。
一旦泄露相关密码,许多企业客户的内网邮件、账号、防火墙、虚拟专用网、交换机、路由器、网络网关、以及本地存储系统,都将面临相当严重的威胁。
作为应对,Click Studios 已经发布了一个名叫 Moserware.zip 的修复程序包(传送门),并建议 29000 家企业立即更换所有密码。