官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
一、事件概要
事件名称 | OneinStack供应链投毒事件 |
威胁等级 | 高危 |
影响范围 | 近期使用OneinStack部署于RedHat的站点 |
攻击类型 | 供应链投毒攻击 |
二、事件描述
据深信服安全运营中心(MSS)安服应急响应团队和深信服蓝军高级威胁(APT)团队监测,监测到PHP/JAVA部署工具OneinStack遭受供应链投毒攻击,官方网站下载安装包被植入恶意链接,已发现境内受感染用户,截止发布时间,相关恶意IoC情报尚未被多数威胁情报平台标记。(oneinstack-full.tar.gz,fc897d5abba2dbff00fb6b88da878ba8)
官网OneinStack安装程序中/usr/local/src/oneinstack/include/openssl.sh被攻击者植入恶意代码。用户从恶意地址下载oneinstack.jpg后,oneinstack.jpg会解压并执行./cron目录下load(只在RedHat服务器运行)。
受害主机中同时存在后续下载的t.jpg,s.jpg,install,cr.jpg,libaudit.so.2等恶意文件。
通过crond、yasio等进程建立DNS隧道通信。
目前作者已确认该事件。
更多相关事件技术分析详情近日将在公众号发布。
三、参考链接
https://github.com/oneinstack/oneinstack/issues/487
四、IoC
8.210.226.191 | |
47.243.39.207 | |
oneinstack.cnoneinstack.com | |
download.cnoneinstack.com | |
load | d892764619456d107894eb4220774d0b |
libaudit.so.2 | ec868c324e8778d8b3f9d77096720def |
oneinstack.jpg | 52448a6b782d12adc7b9ce2e54a11802 |
oneinstack-full.tar.gz | fc897d5abba2dbff00fb6b88da878ba8 |
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者