Passwordstate遭遇供应链攻击 在客户系统上部署恶意软件

The Record 报道称，某神秘黑客攻破了企业密码管理器应用程序的更新机制，并在其用户设备（大多数为企业客户）上部署了恶意软件。今天早些时候，澳大利亚软件公司 Click Studios 已经向 2.9 万名客户发去了电子邮件通知。由波兰科技新闻网站 Niebezpiecznik 获得的通告副本可知，带有恶意软件的更新包，在 4 月 20 ~ 22 日期间持续传播了 28 个小时。

官网介绍（来自：Click Studios）

丹麦安全公司 CSIS 今日发布了针对该供应链恶意软件攻击的分析，指出攻击者迫使 Passwordstate 应用程序下载了另一个名为“Passwordstate_update.zip”的压缩包，其中包含了一个“moserware.secretsplitter.dll”动态链接库文件。

在受害者机器上安装后，该 DLL 文件将会尝试 ping 通远程的命令与控制服务器，而后服务器端会给出特定的响应，比如检索其它有效负载。

从 UTC 时间 4 月 20 日 20:33、到 4 月 22 日 00:30，恶意软件一共持续了 28 个小时。然而攻击者的嗅觉也相当灵敏，在发现露馅时就立即关闭了命令与控制服务器。

调查受阻的安全人员，暂时只发现 Windows 版本的 Passwordstate 恶意软件。至于攻击者还执行了哪些额外的骚操作，目前还无法断定。

邮件截图

从攻击者破坏的软件性质来判断，黑客显然希望从受感染的系统中捞取机密信息，甚至可能已经获得了对客户密码存储的完全访问权限。

正如 SentinelOne 首席威胁研究员 Juan Andres Guerrero-Saade 今日在 Twitter 上指出的那样，当前已有某些工具能够破解 Passwordstate 加密库并恢复明文密码。

一旦泄露相关密码，许多企业客户的内网邮件、账号、防火墙、虚拟专用网、交换机、路由器、网络网关、以及本地存储系统，都将面临相当严重的威胁。

作为应对，Click Studios 已经发布了一个名叫 Moserware.zip 的修复程序包（传送门），并建议 29000 家企业立即更换所有密码。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/