微软发现多层供应链攻击

Microsoft已经分享了一项新攻击的详细信息，该攻击试图通过破坏应用程序开发人员的软件供应合作伙伴，将加密恶意软件传播给大量用户。

多层攻击依赖于破坏PDF编辑器供应商与其合作伙伴之间的共享基础架构，为应用程序提供了额外的字体包：攻击者瞄准供应链的供应链。

微软表示，这种妥协在2018年1月至3月期间似乎是有效的，并且可能影响了与字体包提供商合作的其他六家供应商。

默默地进行，攻击最初表现为典型的感染并且被自动阻止，但是在大量机器上观察到相同的感染模式。

微软Windows Defender ATP研究团队解释说，Windows Defender最终警告了近70,000起涉及伪装成pagefile.sys 的硬币挖掘过程的事件，该事件由名为xbox-service.exe 的服务发起。

微软的调查显示，安装过程中PDF编辑器正在下载恶意安装程序包（MSI）以及其他合法安装程序。然后发现应用程序供应商本身并未受到攻击，但恶意程序包由创建和分发应用程序使用的其他字体包的合作伙伴提供。

攻击者发现应用程序供应商与其合作伙伴之间的交互存在弱点，并且还发现了利用它来劫持MSI字体包的安装链的方法，从而将PDF编辑器变成了恶意负载的意外载体。

Microsoft发现攻击者在自己的服务器上创建了软件合作伙伴基础架构的副本，并复制并托管了所有MSI文件，包括字体包。他们只修改了一个亚洲字体包，以便为其添加恶意负载。

攻击者还设法影响PDF应用程序使用的下载参数，以指向他们的服务器，从而导致从流氓服务器下载MSI字体包。因此，用户最终安装了硬币矿工恶意软件以及合法应用程序。

在设备重启时，恶意MSI文件将替换为合法版本。微软还在恶意软件包中发现了硬编码的PDF应用程序名称，并得出结论认为至少有六家其他供应商可能是攻击者的目标。

微软表示，“虽然我们无法找到这些其他供应商分发恶意MSI的证据，但攻击者显然在考虑更广泛的分销情况。”

检测为Trojan：Win64 / CoinMiner ，恶意矿工将隐藏在名称xbox-service.exe 后面，并使用受感染机器的资源挖掘Monero。恶意软件还会通过阻止与某些PDF应用程序的更新服务器的通信来阻止远程清理和修复。

威胁也暗示了浏览器脚本作为硬币挖掘的另一种形式，但目前还不清楚这是次要计划还是正在进行的工作。

“这个新的供应链事件似乎并未涉及民族国家的攻击者或复杂的对手，但似乎是由小型网络犯罪分子发起的，他们试图利用被劫持的计算资源从硬币开采中获利，”微软表示。

本周早些时候发布的一份CrowdStrike报告强调了越来越多针对软件供应链的网络攻击。一些最大的此类事件包括去年的NotPetya和CCleaner事件，这些事件影响了数百万人。